OpenSSL高危心脏出血漏洞

关于OpenSSL高危心脏出血漏洞对于网站来说，是一个非常严重的问题，这个漏洞可以使得攻击者能够从网站的内存当中读取最多64KB的数据，并且无需任何特权信息或者身份验证，就可以偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商用文档好通信等数据。今天推火专家seo博客转载来自百度安全指数所发布的一篇关于这种漏洞的介绍，正文部分如下

发现时间2014年4月

漏洞等级高危

漏洞原理

OpenSSL的代码中没有对读长度进行检查，攻击者可以利用这个缺陷，在一个心跳请求中获取到服务器进程中最大为64KB的数据。通过发出多个这样的请求，攻击这就可以无限制地获取内存数据。服务器的进程中必然存在敏感信息例如会话票证的密钥、TLS的会话密钥以及各类密码，攻击者就可以得到这些信息。

影响版本OpenSSL 1.0.1-1.0.1f

漏洞影响

TLS协议有史以来遭遇的最严重的问题，也是TLS史上速度最快的漏洞修复。

修复方案

第一步打补丁

升级OpenSSL到最新版本或重新编译OpenSSL 1.0.1，配置OpenSSL以删除对心跳协议的支持。

$ ./config –DOPENSSL_NO_HEARTBEATS

$ make

第二步泄漏信息清理

替换服务器的私钥，重新签发新证书并吊销旧证书；

如果使用了会话票证，替换会话票证的对称密钥；

服务器内存中其他密码的替换，例如用户密码，根据风险预测建议用户修改密码；例如数据库密码。