在首次报告Heartbleed安全漏洞后的三个月,仍在感受到它的影响。这是IT专业人员不需要的那种兴奋。在披露Heartbleed漏洞一个月后,安全研究员Robert Graham 报告说,他发现318,239个系统仍处于危险之中。6月21日,他报告说他发现309,197台服务器仍然容易受到Heartbleed的攻击。
作为是开源的OpenSSL加密库周围的心脏出血漏洞,安全漏洞的传奇披露 4月7日-继续,谷歌宣布BoringSSL。
对于安全社区中的许多人来说,Heartbleed令人兴奋。Google希望针对自己的OpenSSL使用情况进行更改。6月20日,Google工程师Adam Langley 发布了 BoringSSL,它是OpenSSL代码库的分支。
Google是OpenSSL的大用户,并且与安全公司Codenomicon一起被认为是Heartbleed的最初发现。Google对OpenSSL的使用不仅限于服务器。它还在Android移动操作系统上使用。
兰利说,多年来,谷歌一直在为开源OpenSSL项目提供补丁,尽管并非所有补丁都包含在官方项目中。Google在OpenSSL之上运行其所有修补程序,这是其操作的一部分。
Langley在博客中写道:“要使所有这些补丁(目前有70多个补丁)直接跨多个代码库而付出的努力越来越大。” “因此,我们正在将模型切换到从OpenSSL导入更改的模型,而不是基于这些模型。”
Google的BoringSSL分支仍会将修补程序发送给主要的开源项目,因此这对于Google和OpenSSL而言可能都是双赢的情况。
心脏出血的长期影响
大量服务器仍然易受攻击的事实意味着什么?
格雷厄姆在博客中写道:“这表明人们甚至没有试图修补补丁。” “随着旧系统的缓慢更换,我们将在未来十年内看到缓慢的减少。”
这位安全研究员说,他希望从现在起十年后能够找到容易受到Heartbleed攻击的系统。
令人震惊。还是?
当我一再报告安全漏洞时,罪魁祸首通常是未打补丁的系统。没有未打补丁的服务器这一事实不一定令人惊讶,也不一定是世界末日。在某些情况下,可能会安装Web应用程序防火墙(WAF)或其他网络外围防御系统,以潜在地限制利用风险。
在某些情况下,服务器管理员根本不知道需要修补某些内容。在这些情况下,我经常发现它不仅仅是过时的一项,而是多项。对于那些过时的服务器,我怀疑Heartbleed只是许多潜在的利用途径之一。
无聊的SSL?
在出现Heartbleed新闻之前,许多人通常只将OpenSSL视为坚固,稳定的基础设施,而这正是Google OpenSSL项目名称BoringSSL的基本原理。兰利说,BoringSSL这个名字“是抱负,还不是一个承诺。”
考虑到Graham对可悲的预测,即易受Heartbleed影响的服务器仍会在十年后被发现,我个人怀疑OpenSSL会在一段时间内变得无聊。