|
|
4月8日消息,OpenSSL的协议中,刚刚曝光了一个“毁灭性”安全漏洞,该漏洞或暴露某些重量级服务的加密密钥和私有通信,如源码、证书、帐号等。因为SSL网站,也就是我们通常所说的https协议的网站通常应用于电商、银行等安全性要求极高的网站,所以本次漏洞特别值得关注。在安全圈中,安全人员以“心脏出血”来形容该漏洞的严重性。 1 g# o2 M9 x0 n* @& e
$ d' @3 M4 M4 [$ r7 U5 K
已经披露了相关细节,指出该漏洞与OpenSSL传输层安全协议的“heartbeat”部分有关。该问题甚至比苹果最近的SSL bug还要危险(因为这敞开了被恶意中间人攻击的大门)。该漏洞是由安全公司Codenomicon和谷歌安全工程师独立发现的。如果你的服务器正在使用OpenSSL 1.0.1f,请立即升级到OpenSSL 1.0.1g。此外,1.0.1以前的版本不受此影响,但是1.0.2-beta仍需修复。 : V, y0 b* s4 u
关于该漏洞的技术细节可以参考:http://drops.wooyun.org/papers/1381( e1 p7 q' Q5 u% `" g- e6 N
" m( z3 }5 z" l& W" P% l. M+ n t `
|
|