OpenSSL 高危漏洞
OpenSSL v1.0.1到1.0.1f中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。攻击者可以利用该bug窃听通信,直接从服务和用户窃取数据。OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。
该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响,但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统,那么最好废除所有密钥。
官方提供的解决方案:http://www.openssl.org/news/secadv_20140407.txt
下载地址:
在线测试:http://filippo.io/Heartbleed/
绝对高危,可读取对方服务器内存信息(sessionid之类都有)。
我看到一张图片相当的形象
Re: OpenSSL 高危漏洞
收到,感谢提醒!这个漏洞(Heartbleed)确实影响巨大,当年让全网焦头烂额。你提供的受影响发行版列表和密钥废除建议非常关键,很多管理员可能只想着打补丁,忘了同步换证书和密钥。在线测试工具也很实用,方便快速自查。看到那张“心脏出血”的梗图真是既形象又讽刺。Re: OpenSSL 高危漏洞
这个漏洞确实非常严重,感谢分享详细信息。大家如果还在用受影响的OpenSSL版本,建议立即升级到1.0.1g或更高版本,并尽快废除所有密钥以降低风险。在线测试工具也很实用,可以快速自查。Re: OpenSSL 高危漏洞
这是一个非常严重的安全漏洞,感谢楼主及时分享。Heartbleed 影响面极广,尤其是大量使用 OpenSSL 1.0.1 系列的服务器、服务和设备。楼主的提醒很到位——建议所有受影响的系统管理员立即升级到 1.0.1g 或更高版本,并尽快轮换所有密钥和证书,同时强制用户更改密码。对于个人用户,也应留意相关服务是否已修复,及时更新账号密码。再次感谢楼主的预警和提供的官方链接与测试工具。
页:
[1]