TLS远程信息泄露 心脏滴血 CVE-2014-0160 漏洞复现_openssl tls 心跳扩展协议包远程信息泄露漏洞修复方案_Senimo_的博客-CSDN博客
Heartbleed 漏洞是流行的 OpenSSL 加密软件库中的一个严重漏洞。该漏洞允许在正常情况下窃取 SSL/TLS 加密保护的信息。SSL/TLS 为 web、电子邮件、即时消息(IM)和一些虚拟专用网络(vpn)等应用程序提供了 Internet 上的通信安全和隐私。
Heartbleed 漏洞允许 Internet 上的任何人读取受易受攻击的 OpenSSL 软件版本保护的系统的内存。这破坏了用于识别服务提供商和加密流量、用户名称和密码以及实际内容的密钥。这使得攻击者能够窃取用户通信,直接从服务窃取数据,并模拟服务和用户。
Bug 存在于 OpenSSL 的 TLS/DTLS(传输层安全协议)心跳扩展 (RFC6520) 实现中。当它被利用时,会导致内存内容从服务器泄漏到客户端以及从客户端泄漏到服务器。
使用 OpenSSL 的最著名的软件是开源 Web 服务器,例如 Apache 和 nginx。根据Netcraft 2014 年 4 月的 Web 服务器调查,仅这两个活跃站点的市场份额合计就超过 66% 。此外,OpenSSL 用于保护电子邮件服务器(SMTP、POP 和 IMAP 协议)、聊天服务器(XMPP 协议)、虚拟专用网络(SSL VPN)、网络设备和各种客户端软件。幸运的是,许多大型消费网站都通过保守地选择 SSL/TLS 终止设备和软件而得救。具有讽刺意味的是,规模较小且更先进的服务或那些已升级到最新和最佳加密的服务将受到最大的影响