此次名为Heartbleed的OpenSSL漏洞引发了极其恶劣的影响，而为此暂时切断互联网连接肯定也不算什么理想的解决方案。仅仅由于广泛使用的加密机制中存在一丁点微小缺陷，如今任何家伙都能轻松潜入存在漏洞的系统——包括银行HTTPS服务器以及个人VPN——并疯狂窃取密码、登陆cookie、个人加密密钥等等。

 

现在已经是2014年了，安全保障工作为何仍然如此不堪？

只需一份利用Metasploit引擎的简单脚本外加短短几秒钟，恶意人士即可从依赖于OpenSSL 1.0.1到1.0.1f版本进行TLS加密的系统内存中提取到敏感数据。根据我们掌握的情况，这一漏洞影响到的网站约为五十万个、占总体受信网站中的17.5%，此外任何使用上述OpenSSL版本的客户端软件、邮件服务器、聊天服务等也都在受影响范围之内。

本周一开始已经有不少热门网络服务陆续针对这一漏洞发布修复补丁;大家可以利用相关工具检查自己的系统是否已经中招(当然，风险要由各位自己承担)，同时也别忘了为自己已经受到感染的系统安装OpenSSL修复补丁。除此之外，我们还需要更改密码、转储会话cookie并对数据风险加以评估。

如果大家还不了解Heartbleed是怎么回事，这里提供概括描述：

这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。大家可以点击此处获取修复补丁，需要强调的是此次问题远比苹果前一阵子曝出的安全问题严重得多。

问题源自TLS Heartbeat扩展

这一漏洞藏身于OpenSSL的TLS Heartbeat扩展当中：这是一项持续作用型功能，其中一个连接端会向另一端发送任意数据的有效负载，对方则发回对应数据的精确副本以确保传输过程一切正常。根据官方提供的标准说明，Heartbeat信息在C语言中表现为以下形式：

这条HeartbeatMessage通过SSL3_RECORD结构——一种SSL/TLS通信基础构建块——进行传输。SSL3_RECORD中的关键性字段如下所示，其中length代表接收到的HeartbeatMessage内容为多少字节、data则为指向该HeartbeatMessage的指针。

更明确地进行解释，SSL3记录中的data指向接收到的HeartbeatMessage的起始位置，而length代表接收到的HeartbeatMessage的字节数量。与此同时，HeartbeatMessage中的payload length代表被发回的随意有效负载的字节数量。

发出HeartbeatMessage的一方对payload length拥有控制权，不过正如我们所看到，SSL3_RECORD中的length字段并没有经过验证、而这一状况就成了攻击者实现内存溢出绝佳机会。

(责任编辑：安博涛)