❏ 站外平台:

OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复

| 2014-04-08 12:36   评论: 8 分享: 2    

OpenSSL v1.0.1到1.0.1f中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。攻击者可以利用该bug窃听通信,直接从服务和用户窃取数据。

Heartbleed Bug

OpenSSL已经发布了1.0.1g修正bug,Debian发行版也在半小时修复了bug,Fedora发布了一个权宜的修正方案。该bug是在2011年引入到OpenSSL中,使用OpenSSL 0.9.8的发行版不受影响。受到影响的操作系统如下:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

如果你运行存在该bug的系统,那么最好废除所有密钥。具体信息可以访问: http://heartbleed.com/

via: http://www.solidot.org/story?sid=39042



最新评论

微博评论 2014-04-08 17:56 2 回复
Debian,赞!
[1]
kashu 发表于 2014-04-08 13:29 的评论:
这配图……太不科学了-_-
linux 2014-04-08 15:30 2 回复
配图是heartbleed的
微博评论 2014-04-08 13:59 2 回复
貌似会波及Ubuntu家族~
微博评论 2014-04-08 13:59 2 回复
我靠
微博评论 2014-04-08 13:59 2 回复
1.0.1f
微博评论 2014-04-08 13:59 2 回复
坑爹啊,前几天刚决定使用1.0.1f[衰]
微博评论 2014-04-08 13:59 2 回复
OpenSSL严重bug允许攻击者读取64k内存,Debian半小时修复

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。