Heartbleed(心脏出血)是OpenSSL中一个灾祸性的bug:
“任何能上彀的人都能够经过这个”心脏出血(Heartbleed)”bug读取你的效劳器的内存信息——只需你的系统是用这个有缝隙的OpenSSL软件做安全维护的。它会走漏用来认证效劳提供商和用来加密内容传输的密钥,还会走漏用户的用户名和暗码,以及用户正在使用的内容信息。黑客能使用这个缝隙窃听你和效劳器沟通的信息,直接盗取你和效劳器的数据,并把自个假造成效劳提供商或用户。
基本上,使用”心脏出血(Heartbleed)”缝隙,一个黑客每次能从你的效劳器上抓取64K的内存信息。这种侵略行为不会留下任何痕迹,而且能够屡次重复随机抓取不一样的64K内存内容。这意味着内存中的任何东西——SLL私钥,用户密钥,任何东西——都有被走漏的风险。事实上你有必要假定它们全被走漏了。悉数。
“灾祸性”这个词用的很适宜。假如灾祸等级划分为1到10,这次是11。
数以万计的网站都是受害者,包括我这个。在这里你能够测验你的效劳器是否也在风险中。
这个bug已经有了补丁。在给你的效劳器打了补丁后,你需求生成新的公钥和私钥,更新你的SSL证书,修正一切能够被走漏的暗码。
从能够性上讲,每个人的暗码都有能够被多方黑客获取。真实的问题是,这个bug是不是有人故意放入OpenSSL代码里的?那他能在这2年里肆无忌惮的抓取任何信息。我猜想这是一次意外,但没有证据。
