本文介绍OpenSSL存在的严重安全漏洞——‘心脏出血’,详细解释了漏洞成因、利用方式以及如何检测和修复漏洞。提醒广大互联服务商和用户提高警惕,保护账户安全。
4月8日消息,昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞(即OpenSSL“心脏出血”漏洞),该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等,国内大量网站中招,包括大批网银、知名购物网站、电子邮件等。
该漏洞也被认为是本年度互联网上最严重的安全漏洞,请广大互联服务商警惕起来,尽快修复该漏洞,保护用户账户安全。同时提醒广大网友在此漏洞得到修复前,这两天要谨慎登录各类网站,在线支付时要格外小心,近期最好修改一下自己的密码。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
OpenSSL“心脏出血”漏洞利用方式
利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%的https开头网址的用户登录账号和密码、cookie等敏感数据,影响网银、知名购物网站等。
漏洞成因
OpenSSL Heartbleed模块存在一个BUG,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
漏洞检测地址:
您可以通过以下地址进行检测您的网站是否存在该漏洞。
地址1:http://possible.lv/tools/hb/
地址2:http://filippo.io/Heartbleed/
修复方法:
目前官方回复1.0.1与1.0.2beta版本与1.0.1f与1.0.2-beta1受到影响,请大家升级相应版本至1.0.1g以及1.0.2修复该漏洞。公告详情:http://www.openssl.org/news/secadv_20140407.txt
扫一扫
3877
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
