OpenSSL是一個(gè)開(kāi)放源碼網(wǎng)絡(luò )傳輸加密函式庫,使用相當廣泛,連全球占Web伺服器一半以上的Apache都是使用這套軟件來(lái)進(jìn)行SSL/TLS加密。Heartbleed臭蟲(chóng)已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業(yè)系統受到影響。OpenSSL并已同時(shí)釋出OpenSSL 1.0.1g修補該漏洞。
CTI論壇(ctiforum)4月9日消息(記者 李文杰):OpenSSL周二(4/8)發(fā)布緊急安全修補公告,公布OpenSSL中一個(gè)可能潛伏長(cháng)達二年之久的OpenSSL重大安全漏洞。
研究人員指出,Heartbleed臭蟲(chóng)已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業(yè)系統受到影響,包括Debian Wheezy,Ubuntu 12.04.4 LTS,CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。OpenSSL并已同時(shí)釋出OpenSSL 1.0.1g修補該漏洞。
OpenSSL是一個(gè)開(kāi)放源碼網(wǎng)絡(luò )傳輸加密函式庫,使用相當廣泛,連全球占Web伺服器一半以上的Apache都是使用這套軟件來(lái)進(jìn)行SSL/TLS加密。這項漏洞是由安全公司Codenomicon及Google安全部門(mén)的Neel Mehta發(fā)現。
由于這個(gè)漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時(shí)會(huì )造成記憶體內容的外泄,可能從伺服器端外泄到客戶(hù)端,或者由客戶(hù)端外泄到伺服器端,因此研究人員將它命名為Heartbleed(心在淌血) 臭蟲(chóng)(Heartbleed bug)。這個(gè)漏洞并不是SSL/TLS協(xié)定的問(wèn)題,而是OpenSSL函式庫的程式錯誤。
Codenomicon人員解釋?zhuān)琀eartbleed臭蟲(chóng)可能讓網(wǎng)絡(luò )上任何人讀取到由OpenSSL防護的系統記憶體,進(jìn)而獲得辨識服務(wù)供應商或加密網(wǎng)絡(luò )流量的密碼,或是使用者的帳號密碼及實(shí)際內容。攻擊者可借此竊取服務(wù)或身份驗證內容,并且假冒服務(wù)或使用者身份。
研究人員實(shí)地測試發(fā)現,Heartbleed臭蟲(chóng)可讓他們無(wú)需權限資料就可以取得自己的x.509加密金鎖、用戶(hù)帳號、即時(shí)通訊、email及公司重要文件及通訊內容,而且完全不留任何痕跡。因此即使公司系統曾經(jīng)遭到入侵,管理員可能也無(wú)從得知。
