OpenSSL曝嚴重安全漏洞,國內大量網站中招
作者:blue
OpenSSL的協議中,剛剛曝光了一個“毀滅性”的安全漏洞,或暴露某些重量級服務的加密密鑰(cryptographic keys)和私有通信(private communications)。如果你的服務器正在使用OpenSSL 1.0.1f,請務必立即升級到OpenSSL 1.0.1g。
OpenSSL的協議中,剛剛曝光了一個“毀滅性”的安全漏洞,或暴露某些重量級服務的加密密鑰(cryptographic keys)和私有通信(private communications)。如果你的服務器正在使用OpenSSL 1.0.1f,請務必立即升級到OpenSSL 1.0.1g。此外,1.0.1以前的版本不受此影響,但是1.0.2-beta仍需修復。
Heartbleed.com已經披露了相關細節(jié),指出該漏洞與OpenSSL傳輸層安全協議的“heartbeat”部分有關。該問題甚至比蘋果最近的SSL bug還要危險(因為這敞開了被惡意中間人攻擊的大門)。
該bug是由安全公司Codenomicon和谷歌安全工程師獨立發(fā)現的,據了解國內大量網站存在該漏洞,網友更稱該漏洞為今年史上最強大的漏洞,如下圖:
您可以通過以下地址檢測您的網站是否存在該漏洞,如下:
http://possible.lv/tools/hb/
或使用附件中腳本測試,下載地址:http://down.51cto.com/data/1120787
修復建議:
升級OpenSSL 1.0.1g 版本
更多技術細節(jié)可以參考Heartbleed網站,Hacker News上的討論也極具價值。
責任編輯:藍雨淚
來源:
FreeBuf
