OpenSSL是一個(gè)開放源碼網(wǎng)絡(luò)傳輸加密函式庫(kù)，使用相當(dāng)廣泛，連全球占Web伺服器一半以上的Apache都是使用這套軟件來進(jìn)行SSL/TLS加密。Heartbleed臭蟲已存在2年以上，受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內(nèi)含OpenSSL的作業(yè)系統(tǒng)受到影響。OpenSSL并已同時(shí)釋出OpenSSL 1.0.1g修補(bǔ)該漏洞。

　　CTI論壇（ctiforum）4月9日消息（記者 李文杰）:OpenSSL周二（4/8）發(fā)布緊急安全修補(bǔ)公告，公布OpenSSL中一個(gè)可能潛伏長(zhǎng)達(dá)二年之久的OpenSSL重大安全漏洞。

　　研究人員指出，Heartbleed臭蟲已存在2年以上，受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內(nèi)含OpenSSL的作業(yè)系統(tǒng)受到影響，包括Debian Wheezy，Ubuntu 12.04.4 LTS，CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。OpenSSL并已同時(shí)釋出OpenSSL 1.0.1g修補(bǔ)該漏洞。

　　OpenSSL是一個(gè)開放源碼網(wǎng)絡(luò)傳輸加密函式庫(kù)，使用相當(dāng)廣泛，連全球占Web伺服器一半以上的Apache都是使用這套軟件來進(jìn)行SSL/TLS加密。這項(xiàng)漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發(fā)現(xiàn)。

　　由于這個(gè)漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat（心跳）擴(kuò)充功能之中，該漏洞受到攻擊時(shí)會(huì)造成記憶體內(nèi)容的外泄，可能從伺服器端外泄到客戶端，或者由客戶端外泄到伺服器端，因此研究人員將它命名為Heartbleed（心在淌血） 臭蟲（Heartbleed bug）。這個(gè)漏洞并不是SSL/TLS協(xié)定的問題，而是OpenSSL函式庫(kù)的程式錯(cuò)誤。

　　Codenomicon人員解釋，Heartbleed臭蟲可能讓網(wǎng)絡(luò)上任何人讀取到由OpenSSL防護(hù)的系統(tǒng)記憶體，進(jìn)而獲得辨識(shí)服務(wù)供應(yīng)商或加密網(wǎng)絡(luò)流量的密碼，或是使用者的帳號(hào)密碼及實(shí)際內(nèi)容。攻擊者可借此竊取服務(wù)或身份驗(yàn)證內(nèi)容，并且假冒服務(wù)或使用者身份。

　　研究人員實(shí)地測(cè)試發(fā)現(xiàn)，Heartbleed臭蟲可讓他們無需權(quán)限資料就可以取得自己的x.509加密金鎖、用戶帳號(hào)、即時(shí)通訊、email及公司重要文件及通訊內(nèi)容，而且完全不留任何痕跡。因此即使公司系統(tǒng)曾經(jīng)遭到入侵，管理員可能也無從得知。