心脏出血漏洞
出現在OpenSSL的程式錯誤 / 維基百科,自由的 encyclopedia
親愛的 Wikiwand AI, 讓我們通過簡單地回答這些關鍵問題來保持簡短:
你能列出最重要的事實和統計數據嗎 心脏出血漏洞?
為 10 歲的孩子總結這篇文章
顯示所有問題
心脏出血漏洞(英語:Heartbleed bug),简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查)[3],因此漏洞的名称来源于“心跳”(heartbeat)[4]。该程序错误属于缓冲区过读[5],即可以读取的数据比应该允许读取的还多[6]。
事实速览 CVE标识符, 发布日期 ...
CVE标识符 | CVE-2014-0160 |
---|---|
发布日期 | 2012年2月1日,12年前(2012-02-01) |
发现日期 | 2014年4月1日,10年前(2014-04-01) |
补丁发布日期 | 2014年4月7日,10年前(2014-04-07) |
发现者 | 尼尔·梅塔 |
受影响软件 | OpenSSL (1.0.1) |
网站 | heartbleed |
关闭
心脏出血在通用漏洞披露(CVE)系统中的编号为CVE-2014-0160[5]。加拿大网络事故响应中心(英语:Canadian Cyber Incident Response Centre)发布安全公告,提醒系统管理员注意漏洞[7]。2014年4月7日,即漏洞公开披露的同一天,OpenSSL发布了修复后的版本。
截至2014年5月20日 (2014-05-20)[update],在80万最热门的启用TLS的网站中,仍有1.5%易受心脏出血漏洞的攻击。[8]
因为缺陷在于OpenSSL的实现,而不是SSL/TLS协议本身,所以除了OpenSSL之外的其他TLS实现方式,如GnuTLS、Mozilla的网络安全服务(NSS)和Windows平台的TLS实现都不受影响[9]。