OpenSSL 安全漏洞: heartbleed

Heartbleed 是 2014年4月7日被普遍報道的一個 OpenSSL 安全漏洞，號稱是災難。

利用它能讀取服務器上最多64k的內存，只要該服務器能夠經過ssl鏈接。

 

Heartbleed 漏洞，下面簡稱HB的產生緣由是因爲一段 TLS 心跳擴展程序沒有檢測邊界。

 

被影響的 OpenSSL 版本：

     1.0.1

     1.0.1f

     1.0.2-beta

     1.0.2-beta1

 

三種修復辦法：

     upgrade to OpenSSL 1.0.1g

     upgrade to OpenSSL 1.0.2

     recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

     

如何檢測你服務器上的OpenSSL版本？

     執行命令："openssl version -a" 便可看到 OpenSSL 版本。

 

一些web工具：

https://lastpass.com/heartbleed/

https://filippo.io/Heartbleed

 

漏洞是怎樣被利用的：

     TODO

 

參考資料

---

• 微博
• 網站 http://heartbleed.com/
• openssl的安全告警
• StackOverflow上關於如何檢查OpenSSL版本的問題