OpenSSL 安全漏洞: heartbleed

Heartbleed 是 2014年4月7日被广泛报道的一个 OpenSSL 安全漏洞，号称是灾难。

利用它能读取服务器上最多64k的内存，只要该服务器可以通过ssl连接。

 

Heartbleed 漏洞，下面简称HB的产生原因是由于一段 TLS 心跳扩展程序没有检测边界。

 

被影响的 OpenSSL 版本：

     1.0.1

     1.0.1f

     1.0.2-beta

     1.0.2-beta1

 

三种修复办法：

     upgrade to OpenSSL 1.0.1g

     upgrade to OpenSSL 1.0.2

     recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

     

如何检测你服务器上的OpenSSL版本？

     执行命令："openssl version -a" 即可看到 OpenSSL 版本。

 

一些web工具：

https://lastpass.com/heartbleed/

https://filippo.io/Heartbleed

 

漏洞是怎样被利用的：

     TODO

 

参考资料

---

• 微博
• 网站 http://heartbleed.com/
• openssl的安全告警
• StackOverflow上关于如何检查OpenSSL版本的问题