OpenSSL「心臟出血」漏洞爆發和修復方法

4月8日消息，昨日有國外黑客爆出OpenSSL存在一處內存泄漏漏洞（即OpenSSL「心臟出血」漏洞），該漏洞可隨機泄漏https服務器64k內存，內存中可能會含有程序源碼、用戶http原始請求、用戶cookie甚至明文賬號密碼等，國內大量網站中招，包括大批網銀、知名購物網站、電子郵件等。

該漏洞也被認爲是本年度互聯網上最嚴重的安全漏洞，請廣大互聯服務商警戒起來，儘快修復該漏洞，保護用戶帳戶安全。同時提醒廣大網友在此漏洞獲得修復前，這兩天要謹慎登陸各種網站，在線支付時要格外當心，近期最好修改一下本身的密碼。

OpenSSL是爲網絡通訊提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、經常使用的密鑰和證書封裝管理功能以及ＳＳＬ協議，目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上普遍使用。

OpenSSL「心臟出血」漏洞利用方式

利用該漏洞，黑客坐在本身家裏電腦前，就能夠實時獲取到約30%的https開頭網址的用戶登陸帳號和密碼、cookie等敏感數據，影響網銀、知名購物網站等。

漏洞成因
OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數據包，知足用戶心跳包中沒法提供足夠多的數據會致使memcpy把SSLv3記錄以後的數據直接輸出，該漏洞致使攻擊者能夠遠程讀取存在漏洞版本的openssl服務器內存中長大64K的數據。

漏洞檢測地址：

您能夠經過如下地址進行檢測您的網站是否存在該漏洞。

地址1：http://possible.lv/tools/hb/

地址2：http://filippo.io/Heartbleed/

修復方法：

目前官方回覆1.0.1與1.0.2beta版本與1.0.1f與1.0.2-beta1受到影響，請你們升級相應版本至1.0.1g以及1.0.2修復該漏洞。公告詳情：http://www.openssl.org/news/secadv_20140407.txt