OpenSSL是一个开放源码网络传输加密函式库,使用相当广泛,连全球占Web伺服器一半以上的Apache都是使用这套软件来进行SSL/TLS加密。Heartbleed臭虫已存在2年以上,受影响的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有许多内含OpenSSL的作业系统受到影响。OpenSSL并已同时释出OpenSSL 1.0.1g修补该漏洞。
CTI论坛(ctiforum)4月9日消息(记者 李文杰):OpenSSL周二(4/8)发布紧急安全修补公告,公布OpenSSL中一个可能潜伏长达二年之久的OpenSSL重大安全漏洞。
研究人员指出,Heartbleed臭虫已存在2年以上,受影响的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有许多内含OpenSSL的作业系统受到影响,包括Debian Wheezy,Ubuntu 12.04.4 LTS,CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。OpenSSL并已同时释出OpenSSL 1.0.1g修补该漏洞。
OpenSSL是一个开放源码网络传输加密函式库,使用相当广泛,连全球占Web伺服器一半以上的Apache都是使用这套软件来进行SSL/TLS加密。这项漏洞是由安全公司Codenomicon及Google安全部门的Neel Mehta发现。
由于这个漏洞存在OpenSSL的TLS/DTLS 传输安全层的heartbeat(心跳)扩充功能之中,该漏洞受到攻击时会造成记忆体内容的外泄,可能从伺服器端外泄到客户端,或者由客户端外泄到伺服器端,因此研究人员将它命名为Heartbleed(心在淌血) 臭虫(Heartbleed bug)。这个漏洞并不是SSL/TLS协定的问题,而是OpenSSL函式库的程式错误。
Codenomicon人员解释,Heartbleed臭虫可能让网络上任何人读取到由OpenSSL防护的系统记忆体,进而获得辨识服务供应商或加密网络流量的密码,或是使用者的帐号密码及实际内容。攻击者可借此窃取服务或身份验证内容,并且假冒服务或使用者身份。
研究人员实地测试发现,Heartbleed臭虫可让他们无需权限资料就可以取得自己的x.509加密金锁、用户帐号、即时通讯、email及公司重要文件及通讯内容,而且完全不留任何痕迹。因此即使公司系统曾经遭到入侵,管理员可能也无从得知。
