Topic: OpenSSL Heartbleed漏洞 |
 Print this page
|
| 1.OpenSSL Heartbleed漏洞 | Copy to clipboard |
|
Posted by: 阿熊 Posted on: 2014-04-10 09:06 2014年4月7日,CloudFlare公司在其博客上发布了一个公开声明,表示发现了OpenSSL 1.0.1版本当中的一个尚未被公开的漏洞,并表示CloudFlare已经在之前一周修复该bug。同日,OpenSSL官网发布该漏洞通告,漏洞标识为CVE-2014-0160,通告内容如下: TLS心跳扩展的处理过程漏掉了一步边界检测的步骤,这个漏洞使攻击者能够从客户端与服务器端连接的内存泄露中读取多达64KB的数据。 OpenSSL 1.0.1、1.0.1f、1.0.2-beta和1.0.2-beta1版本包含本漏洞。 Google安全组的Neel Mehta发现了本漏洞,而Adam Langley agl@chromium.org 和Bodo Moeller bmoeller@acm.org 提供了漏洞的补丁,感谢他们。 所有受影响的用户需尽快升级至OpenSSL 1.0.1g版本。升级有困难的用户可以通过-DOPENSSL_NO_HEARTBEATS选项重新编译OpenSSL进行临时修补。 1.0.2-beta2更新中将修复这个漏洞。 官方通告发布之后,安全公司Codenomicon单独建立网页对该漏洞进行更详细的描述与跟进,并表示其工程师在该漏洞披露之前早已单独发现了这个漏洞。由于该漏洞跟heartbeat与内存泄露的相关性,本漏洞被形象的描述为Heartbleed(心脏出血)。Heartbleed.com上有一份详细的FAQs,摘要部分如下: •这是一个非常严重的bug,导致全球互联网大量私钥和其他加密信息处于暴露的危险下。 •本漏洞从2011年12月开始进入OpenSSL,并在2012年3月14日OpenSSL 1.0.1正式发布后开始大量流入市场。 •Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3、FreeBSD 10.0、NetBSD 5.0.2、OpenSUSE 12.2等发行版默认搭载了含有本漏洞的OpenSSL版本。 •利用本漏洞抓取敏感信息不会留下任何痕迹。 | |
| 2.Re:OpenSSL Heartbleed漏洞 [Re: 阿熊] | Copy to clipboard |
|
Posted by: 阿熊 Posted on: 2014-04-10 09:12 已经发布升级通告的发行版包括红帽(RHEL桌面版、服务器版、HPC、Workstation)、Fedora(19、20)、Ubuntu(13.10、12.10、12.04 LTS)、Debian。 | |
 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |