【IT168 厂商动态】OpenSSL 今天公告了一个极度严重的漏洞(CVE-2014-0160),被称为「Heartbleed」,正如其名,国内外同行已经称本漏洞为 “击穿心脏”、“毁灭级”、“今年最严重”的漏洞。Softnext守内安采纳的版本都是使用“稳定版“,所以不受此次漏洞攻击影响。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
而这个漏洞能让攻击者从服务器内存中读取 64 KB 的数据,利用传送 heartbeat 的封包给服务器,在封包中控制变量导致 memcpy 函数复制错误的内存数据,因而截取内存中可能存在的重要敏感数据。内存中最严重可能包含 ssl private key、session cookie、以及电子邮件、网银、电子支付和电商购物等用户账号和密码等,因此可能因为这样的漏洞导致服务器遭到入侵或盗取用户账号。