首页 > IT互联网 > 安全 > Heartbleed 心脏出血
2014
12-12

Heartbleed 心脏出血

Bruce Schneier

  Heartbleed(心脏出血)是OpenSSL中一个灾难性的bug:

任何能上网的人都可以通过这个“心脏出血(Heartbleed)”bug读取你的服务器的内存信息——只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥,还会泄露用户的用户名和密码,以及用户正在使用的内容信息。黑客能利用这个漏洞窃听你和服务器交流的信息,直接窃取你和服务器的数据,并把自己伪造成服务提供商或用户。

  基本上,利用”心脏出血(Heartbleed)”漏洞,一个黑客每次能从你的服务器上抓取64K的内存信息。这种入侵行为不会留下任何痕迹,而且可以多次反复随机抓取不同的64K内存内容。这意味着内存中的任何东西——SLL私钥,用户密钥,任何东西——都有被泄露的危险。事实上你必须假设它们全被泄露了。全部。

  “灾难性”这个词用的很合适。如果灾难等级划分为1到10,这次是11。

  数以万计的网站都是受害者,包括我这个。在这里你可以测试你的服务器是否也在危险中。

  这个bug已经有了补丁。在给你的服务器打了补丁后,你需要生成新的公钥和私钥,更新你的SSL证书,修改所有可能被泄露的密码。

  从可能性上讲,每个人的密码都有可能被多方黑客获取。真正的问题是,这个bug是不是有人蓄意放入OpenSSL代码里的?那他能在这2年里肆无忌惮的抓取任何信息。我猜测这是一次意外,但没有证据。

yahoo-mail-heartbleed1

  英文原文:Heartbleed

编程技巧