Heartbleed漏洞是OpenSSL加密库中的一个严重安全漏洞,它允许攻击者读取服务器内存中的数据,以下是关于该漏洞的详细描述:
漏洞
1、漏洞名称:Heartbleed(心脏出血)。
2、漏洞类型:OpenSSL安全漏洞。
3、漏洞来源:OpenSSL。
4、漏洞描述:由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查,攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。
5、漏洞影响版本:OpenSSL 1.0.1版本至OpenSSL 1.0.1f Beta1版本。
漏洞发现与披露
发现机构:安全公司Codenomicon和谷歌安全工程师。
披露时间:2014年4月首次向公众披露。
技术原理
Heartbleed漏洞的问题出现在openSSL处理TLS心跳的过程中,当B收到A的请求包后,并没有验证A包的实际长度,而是简单地把请求包data中说明的长度当作data的实际长度,于是当请求包中说明的长度与请求包数据实际长度不同时,问题就产生了。
漏洞危害
通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全,敏感的安全数据,如服务器的专用主密钥,可使攻击者在服务器和客户端未使用完全正向保密时,通过被动中间人攻击解密当前的或已存储的传输数据,或在通信方使用完全正向保密的情况下,发动主动中间人攻击,攻击者还可以获取用户的账号密码等敏感信息。
检测工具
网络上有多种Heartbleed漏洞检测服务,如Heartbleed test、ossible.lv Heartbleed test、LastPass Heartbleed Checker和Qualys SSL Labs Server Test等。
修复建议
为了解决此漏洞,建议采取以下措施:
1、升级OpenSSL:将受影响的服务器下线,停止旧版的openssl服务,升级openssl到新版本,并重新启动。
2、生成新密钥:因为攻击者可能通过漏洞获取私钥,所以需要生成新密钥,并将新密钥提交给CA,获得新的认证之后在服务器上安装新密钥。
3、撤销旧认证和会话cookies:撤销现有的会话cookies,要求用户修改密码。
Heartbleed漏洞是一个严重的安全威胁,但通过及时升级OpenSSL和采取其他安全措施,可以有效地防止其被利用。
到此,以上就是小编对于heartbleed 漏洞的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/91064.html
