Heartbleed 是 2014年4月7日被广泛报道的一个 OpenSSL 安全漏洞,号称是灾难。
利用它能读取服务器上最多64k的内存,只要该服务器可以通过ssl连接。
Heartbleed 漏洞,下面简称HB的产生原因是由于一段 TLS 心跳扩展程序没有检测边界。
被影响的 OpenSSL 版本:
1.0.1
1.0.1f
1.0.2-beta
1.0.2-beta1
三种修复办法:
upgrade to OpenSSL 1.0.1g
upgrade to OpenSSL 1.0.2
recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
如何检测你服务器上的OpenSSL版本?
执行命令:"openssl version -a" 即可看到 OpenSSL 版本。
一些web工具:
漏洞是怎样被利用的:
TODO
参考资料
- 微博
- 网站 http://heartbleed.com/
- openssl的安全告警
- StackOverflow上关于如何检查OpenSSL版本的问题