2019獨角獸企業重金招聘Python工程師標準>>>

4月8日消息，昨日有國外黑客爆出OpenSSL存在一處內存泄漏漏洞（即OpenSSL“心臟出血”漏洞），該漏洞可隨機泄漏https服務器64k內存，內存中可能會含有程序源碼、用戶http原始請求、用戶cookie甚至明文帳號密碼等，國內大量網站中招，包括大批網銀、知名購物網站、電子郵件等。

該漏洞也被認為是本年度互聯網上最嚴重的安全漏洞，請廣大互聯服務商警惕起來，盡快修復該漏洞，保護用戶賬戶安全。同時提醒廣大網友在此漏洞得到修復前，這兩天要謹慎登錄各類網站，在線支付時要格外小心，近期最好修改一下自己的密碼。

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及ＳＳＬ協議，目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。

OpenSSL“心臟出血”漏洞利用方式

利用該漏洞，黑客坐在自己家里電腦前，就可以實時獲取到約30%的https開頭網址的用戶登錄賬號和密碼、cookie等敏感數據，影響網銀、知名購物網站等。

漏洞成因
OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數據包，滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之后的數據直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl服務器內存中長大64K的數據。

漏洞檢測地址：

您可以通過以下地址進行檢測您的網站是否存在該漏洞。

地址1：http://possible.lv/tools/hb/

地址2：http://filippo.io/Heartbleed/

修復方法：

目前官方回復1.0.1與1.0.2beta版本與1.0.1f與1.0.2-beta1受到影響，請大家升級相應版本至1.0.1g以及1.0.2修復該漏洞。公告詳情：http://www.openssl.org/news/secadv_20140407.txt

轉載于:https://my.oschina.net/safedog/blog/221864

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的OpenSSL“心脏出血”漏洞爆发和修复方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。