安全漏洞預(yù)警

OpenSSL“心臟滴血”漏洞

2014年04月07日，OpenSSL發(fā)布安全公告，在OpenSSL 1.0.1和OpenSSL 1.0.2 Beta1中存在嚴重漏洞。由于未能正確檢測用戶輸入?yún)?shù)的長度，攻擊者可以利用該漏洞，遠程讀取存在漏洞版本的OpenSSL服務(wù)器內(nèi)存中64 KB的數(shù)據(jù)，獲取內(nèi)存中的用戶名、密碼、個人相關(guān)信息以及服務(wù)器的證書等私密信息。

漏洞詳情如下：

漏洞編號：CVE-2014-0160

漏洞名稱：OpenSSL“心臟滴血”漏洞

評級：高危

漏洞描述：OpenSSL軟件存在“心臟出血”漏洞，該漏洞使攻擊者能夠從內(nèi)存中讀取多達64 KB的數(shù)據(jù)，造成信息泄露。

漏洞利用方式：遠程利用

漏洞危害：可被用來獲取敏感數(shù)據(jù)，包括會話Session、cookie、賬號密碼等。

修復(fù)方案：

1.升級ECS OpenSSL。

2.修復(fù)完畢后，重啟Web服務(wù)。Apache/Nginx/Httpd的重啟方式分別如下：

/etc/init.d/apache2 restart

/etc/init.d/ngnix restart

/etc/init.d/httpd restart

3.使用以下命令查看與OpenSSL庫相關(guān)的服務(wù)，并重啟這些服務(wù)。

lsof | grep libssl | awk ‘{print $1}’| sort | uniq

點擊下方圖片可購買阿里云云安全acp認證網(wǎng)絡(luò)課程，個性化服務(wù)，為你的升職加薪之路助力?。?！