AS网站目录(www.adminso.com):心脏出血是OpenSSL一个灾难性bug Heartbleed(心脏出血)是OpenSSL中一个灾难性的bug: “任何能上网的人都可以通过这个心脏出血(Heartbleed)bug读取你的服务器的内存信息――只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥,还会泄露用户的用户名和密码,以及用户正在使用的内容信息
AS网站目录(www.adminso.com):心脏出血是OpenSSL一个灾难性bug
Heartbleed(心脏出血)是OpenSSL中一个灾难性的bug:
“任何能上网的人都可以通过这个心脏出血(Heartbleed)bug读取你的服务器的内存信息――只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥,还会泄露用户的用户名和密码,以及用户正在使用的内容信息。黑客能利用这个漏洞窃听你和服务器交流的信息,直接窃取你和服务器的数据,并把自己伪造成服务提供商或用户。”
基本上,利用“心脏出血(Heartbleed)”漏洞,一个黑客每次能从你的服务器上抓取64K的内存信息。这种入侵行为不会留下任何痕迹,而且可以多次反复随机抓取不同的64K内存内容。这意味着内存中的任何东西――SLL私钥,用户密钥,任何东西――都有被泄露的危险。事实上你必须假设它们全被泄露了。全部。
“灾难性”这个词用的很合适。如果灾难等级划分为1到10,这次是11。
数以万计的网站都是受害者,包括我这个。在这里你可以测试你的服务器是否也在危险中。
这个bug已经有了补丁。在给你的服务器打了补丁后,你需要生成新的公钥和私钥,更新你的SSL证书,修改所有可能被泄露的密码。
从可能性上讲,每个人的密码都有可能被多方黑客获取。真正的问题是,这个bug是不是有人蓄意放入OpenSSL代码里的?那他能在这2年里肆无忌惮的抓取任何信息。我猜测这是一次意外,但没有证据。
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!
