OpenSSL“心脏出血”漏洞-CVE-2014-0160

OpenSSL官方4月7日发布公告,国外有研究人员曝光了一个关于OpenSSl内存泄漏漏洞(CVE-2014-0160),该漏洞可导致敏感信息如用密码等认证信息泄露。现漏经测试包括腾讯、阿里、网易、360等互联网均受影响。目前各大公司都在紧急修复中,在此之前建议用户暂不要登录使用互联网公司的相关业务。

修复方案:

升级到最新版本OpenSSL 1.0.1g

(无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL,1.0.2-beta版本的漏洞将在beta2版本修复 )

漏洞分析:

关于OpenSSL“心脏出血”漏洞的分析 :http://drops.wooyun.org/papers/1381

原作者:Sean Cassidy  原作者Twitter:@ex509

原作者博客:http://blog.existentialize.com

原文:http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

测试版本的结果以及检测工具:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable

OpenSSL 1.0.1g is NOT vulnerable

OpenSSL 1.0.0 branch is NOT vulnerable

OpenSSL 0.9.8 branch is NOT vulnerable

http://filippo.io/Heartbleed/

http://possible.lv/tools/hb/

POC

http://s3.jspenguin.org/ssltest.py


发表评论

(必填)

(必填)

(以便回访)