OpenSSL 曝出重大缺陷 黑客可多次窃取数据

oschina
 oschina
发布于 2014年04月09日
收藏 24

4月9日,据科技博客网站TechCrunch报道,过去两年来,被许多企业和服务用来加密数据的安全协议OpenSSL一直存在一个漏洞,黑客可以利用该漏洞从服务器内存中窃取64KB数据。

64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。

更糟糕的是,即使修正了这一漏洞,但用户并不清楚自己的服务器此前是否曾遭到攻击。用户可以淘汰原有的密钥,但这只能保护用户未来不会受到利用该漏洞的攻击。

安全研究人员尼古拉斯·韦弗(Nicholas Weaver)表示,“我认为,未来一年内仍然会有大量服务器存在该漏洞,漏洞不会得到及时修正。”

雅虎在一份声明中表示,“最近,一个名为Heartbleed的漏洞被发现影响许多使用OpenSSL的平台,其中包括我们的平台。得知这一消息后,我们立即着手修正这一漏洞。我们的团队已经成功地在公司主要服务中采取了恰当的修正措施,目前正在修正存在于其他服务中的这一漏洞。我们一直致力于为全球用户提供尽可能安全的体验,我们将不断努力,确保用户数据的安全。”

编者注:用户可使用下面这个网址来检查自己的网站是否存在该漏洞。

http://possible.lv/tools/hb/?domain=git.oschina.net

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:OpenSSL 曝出重大缺陷 黑客可多次窃取数据
加载中

最新评论(14

骑着猪猪去逛街
骑着猪猪去逛街

引用来自“iq527”的评论

Looking for TLS extensions on https://login.taobao.com

ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

引用来自“whaon”的评论

知道了

whaon
whaon

引用来自“iq527”的评论

Looking for TLS extensions on https://login.taobao.com

ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

知道了

whaon
whaon

引用来自“iq527”的评论

Looking for TLS extensions on https://login.taobao.com

ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

这个信息在哪里看

Jakes
Jakes

这个漏洞怎么修复?我发现我的网站也有。。。

iq527
iq527

Looking for TLS extensions on https://login.taobao.com

ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

iq527
iq527

ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.

haitaosoft
haitaosoft

1、有没有方便的工具(在线工具不敢用)可以检测一个443后面的ssl版本?
2、有没有 nginx版本对应ssl版本 的对照表?

返回顶部
顶部