作者：中国金融认证中心（CFCA）技术专家唐晓领

　　近日，网络加密软件OpenSSL爆出存在一种名为Heartbleed的严重安全漏洞，可能会导致包括账号密码在内的用户隐藏数据被盗取。那么，Heartbleed安全漏洞究竟是什么？OpenSSL有哪些版本会受此影响？漏洞是否与证书有关？如何对网银系统或应用系统做检查？有哪些解决漏洞的方案？中国金融认证中心（CFCA）技术专家唐晓领就上述疑问做出解答：

　　1 OpenSSL漏洞概述

　　2014年4月8日新闻报道了在heartbleed的官网上有关于 CVE-2014-0160 漏洞的详细信息，该漏洞涉及目前广为使用的开源软件OpenSSL。

　　2 漏洞产生原因及受影响版本

　　OpenSSL是一种开放源码的SSL/TLS实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。由于处理TLS heartbeat扩展时的边界错误，攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容。由于OpenSSL是基于C语言实现，该版本软件实现时没有安全边界检查机制，导致攻击者可以直接读取内存中的明文信息。

　　目前有关OpenSSl 版本是否受此漏洞影响的说明如下：

　　OpenSSL1.0.1 到 1.0.1f (包含) 受此漏洞影响；

　　OpenSSL1.0.1g 已修复该漏洞；

　　OpenSSL1.0.0 分支版本不受此漏洞影响；

　　OpenSSL0.9.8 分支版本不受此漏洞影响；

　　OpenSSL1.0.2 目前只有 Beta 版本，虽然升级 Beta也可避免受此漏洞影响，但不推荐使用Beta版本。

　　3 漏洞与证书无关

　　该漏洞与证书没有任何关系。证书只是SSL/TLS协议中用于身份认证及加密通讯，而本次漏洞是利用缓冲区溢出机制来直接读取内存中的明文信息，因此与证书没有任何关系。漏洞的根本原因是由于OpenSSL软件个别版本的代码没有检查安全边界。

　　4 对网银系统或应用系统如何做检查

　　本次漏洞主要与银行网银系统应用服务器有关系，因此主要检查银行网银系统是使用哪些应用服务器。

　　如果银行应用服务器主要是weblogic、websphere等商业软件，由于这些产品底层SSL实现不对外公开，则需要咨询一下相关服务商是否有该问题。对于使用一些JAVA语言的开源应用服务器如TOMCAT，JBOSS这些产品来说，由于JAVA语言本身有安全检查机制，因此不受该漏洞影响。

　　目前一些开源的应用服务器如：APACHE、NGINX等等，底层都是基于OpenSSL来实现的。因此如果网银服务器是基于这些开源服务器产品实现的，同时底层OpenSSL版本为上述有漏洞的版本，肯定会受此影响。在linux系统中检测OpenSSL版本方法：运行命令openssl version 。

　　以下操作系统自带的OpenSSL有这个安全问题：

　　5 解决该漏洞的方案

　　如果发现系统受此漏洞影响，可以采用如下方式：

　　1、升级应用服务器中的OpenSSL版本，目前官方给出的版本OpenSSL 1.0.1g已经解决了该问题。尽快升级到OpenSSL1.0.1g版本或者使用-DOPENSSL_NO_HEARTBEATS重新编译OpenSSL。

　　2、更换应用服务器，将应用服务器改为专业厂商提供的安全网关产品或者商业应用服务器产品来提供HTTPS代理服务。

　　3、对于最终用户来说，如果登录的服务器有该问题，则暂时不要使用密码方式登录系统，等待网站修复该问题后再登录系统。