OpenSSL“心脏出血”漏洞爆发和修复方法

4月8日消息，昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞（即OpenSSL“心脏出血”漏洞），该漏洞可随机泄漏https服务器64k内存，内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文账号密码等，国内大量网站中招，包括大批网银、知名购物网站、电子邮件等。

该漏洞也被认为是本年度互联网上最严重的安全漏洞，请广大互联服务商警戒起来，尽快修复该漏洞，保护用户帐户安全。同时提醒广大网友在此漏洞获得修复前，这两天要谨慎登陆各种网站，在线支付时要格外当心，近期最好修改一下本身的密码。

OpenSSL是为网络通讯提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、经常使用的密钥和证书封装管理功能以及ＳＳＬ协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上普遍使用。

OpenSSL“心脏出血”漏洞利用方式

利用该漏洞，黑客坐在本身家里电脑前，就能够实时获取到约30%的https开头网址的用户登陆帐号和密码、cookie等敏感数据，影响网银、知名购物网站等。

漏洞成因
OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，知足用户心跳包中没法提供足够多的数据会致使memcpy把SSLv3记录以后的数据直接输出，该漏洞致使攻击者能够远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。

漏洞检测地址：

您能够经过如下地址进行检测您的网站是否存在该漏洞。

地址1：http://possible.lv/tools/hb/

地址2：http://filippo.io/Heartbleed/

修复方法：

目前官方回复1.0.1与1.0.2beta版本与1.0.1f与1.0.2-beta1受到影响，请你们升级相应版本至1.0.1g以及1.0.2修复该漏洞。公告详情：http://www.openssl.org/news/secadv_20140407.txt