Heartbleed 心脏出血

Bruce Schneier

Bruce Schneier

Heartbleed(心脏出血)是OpenSSL中一个灾难性的bug:

“任何能上网的人都可以通过这个”心脏出血(Heartbleed)”bug读取你的服务器的内存信息——只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥,还会泄露用户的用户名和密码,以及用户正在使用的内容信息。黑客能利用这个漏洞窃听你和服务器交流的信息,直接窃取你和服务器的数据,并把自己伪造成服务提供商或用户。

基本上,利用”心脏出血(Heartbleed)”漏洞,一个黑客每次能从你的服务器上抓取64K的内存信息。这种入侵行为不会留下任何痕迹,而且可以多次反复随机抓取不同的64K内存内容。这意味着内存中的任何东西——SLL私钥,用户密钥,任何东西——都有被泄露的危险。事实上你必须假设它们全被泄露了。全部。

“灾难性”这个词用的很合适。如果灾难等级划分为1到10,这次是11。

数以万计的网站都是受害者,包括我这个。在这里你可以测试你的服务器是否也在危险中。

这个bug已经有了补丁。在给你的服务器打了补丁后,你需要生成新的公钥和私钥,更新你的SSL证书,修改所有可能被泄露的密码。

从可能性上讲,每个人的密码都有可能被多方黑客获取。真正的问题是,这个bug是不是有人蓄意放入OpenSSL代码里的?那他能在这2年里肆无忌惮的抓取任何信息。我猜测这是一次意外,但没有证据。

yahoo-mail-heartbleed1

[英文原文:Heartbleed ]
分享这篇文章:

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据