OpenSSL的安全缺陷Heartbleed

2014.4.16更新: mod_spdy需要单独更新,详见下文.

今天一大早收到了一堆关于SSL的邮件,原来前几天,OpenSSL中暴出了一个严重安全问题,被称为“Heartbleed”。

Heartbleed可导致SSL客户端(比如HTTPS)访问服务器中任何的64k大小的内存数据,也就是说,很多重要数据都可能被窃取,比如SSL的服务器端的密钥。有了服务器端的密钥,可以伪造出一个一模一样的HTTPS钓鱼网站。所以这是非常严重的安全问题。

如果你的博客/网站支持HTTPS,请尽快升级OpenSSL组件。Amazon Linux AMI中的升级方法是:sudo yum update openssl。其它的Linux版本大同小异吧。

另外,如果你的博客使用了mod_spdy,那么你还需要特地更新一下SPDY组件,原因是mod_spdy中有一份OpenSSL的拷贝。

有关Heartbleed的更多信息,请参见:

  1. Heartbleed Bug: http://heartbleed.com/
  2. CVE-2014-0160: https://www.openssl.org/news/secadv_20140407.txt

1 条评论 添加

发表评论

电子邮件地址不会被公开。 必填项已用*标注