中国Java开发网 中国Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» 中国Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 OpenSSL Heartbleed漏洞
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2014-04-10 09:06 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
2014年4月7日,CloudFlare公司在其博客上发布了一个公开声明,表示发现了OpenSSL 1.0.1版本当中的一个尚未被公开的漏洞,并表示CloudFlare已经在之前一周修复该bug。同日,OpenSSL官网发布该漏洞通告,漏洞标识为CVE-2014-0160,通告内容如下:
TLS心跳扩展的处理过程漏掉了一步边界检测的步骤,这个漏洞使攻击者能够从客户端与服务器端连接的内存泄露中读取多达64KB的数据。
OpenSSL 1.0.1、1.0.1f、1.0.2-beta和1.0.2-beta1版本包含本漏洞。
Google安全组的Neel Mehta发现了本漏洞,而Adam Langley agl@chromium.org 和Bodo Moeller bmoeller@acm.org 提供了漏洞的补丁,感谢他们。
所有受影响的用户需尽快升级至OpenSSL 1.0.1g版本。升级有困难的用户可以通过-DOPENSSL_NO_HEARTBEATS选项重新编译OpenSSL进行临时修补。
1.0.2-beta2更新中将修复这个漏洞。

官方通告发布之后,安全公司Codenomicon单独建立网页对该漏洞进行更详细的描述与跟进,并表示其工程师在该漏洞披露之前早已单独发现了这个漏洞。由于该漏洞跟heartbeat与内存泄露的相关性,本漏洞被形象的描述为Heartbleed(心脏出血)。Heartbleed.com上有一份详细的FAQs,摘要部分如下:
•这是一个非常严重的bug,导致全球互联网大量私钥和其他加密信息处于暴露的危险下。
•本漏洞从2011年12月开始进入OpenSSL,并在2012年3月14日OpenSSL 1.0.1正式发布后开始大量流入市场。
•Debian Wheezy、Ubuntu 12.04.4 LTS、CentOS 6.5、Fedora 18、OpenBSD 5.3、FreeBSD 10.0、NetBSD 5.0.2、OpenSUSE 12.2等发行版默认搭载了含有本漏洞的OpenSSL版本。
•利用本漏洞抓取敏感信息不会留下任何痕迹。



作者 Re:OpenSSL Heartbleed漏洞 [Re:阿熊]
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2014-04-10 09:12 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
已经发布升级通告的发行版包括红帽(RHEL桌面版、服务器版、HPC、Workstation)、Fedora(19、20)、Ubuntu(13.10、12.10、12.04 LTS)、Debian。



flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2018 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号
客服电话 0592-8750026    客服信箱 714923@qq.com    客服QQ 714923