OpenSSL“心脏出血”漏洞爆发和修复方法

4月8日消息，昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞（即OpenSSL“心脏出血”漏洞），该漏洞可随机泄漏https服务器64k内存，内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等，国内大量网站中招，包括大批网银、知名购物网站、电子邮件等。

该漏洞也被认为是本年度互联网上最严重的安全漏洞，请广大互联服务商警惕起来，尽快修复该漏洞，保护用户账户安全。同时提醒广大网友在此漏洞得到修复前，这两天要谨慎登录各类网站，在线支付时要格外小心，近期最好修改一下自己的密码。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及ＳＳＬ协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

OpenSSL“心脏出血”漏洞利用方式

利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到约30%的https开头网址的用户登录账号和密码、cookie等敏感数据，影响网银、知名购物网站等。

漏洞成因
OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。

漏洞检测地址：

您可以通过以下地址进行检测您的网站是否存在该漏洞。

地址1：http://possible.lv/tools/hb/

地址2：http://filippo.io/Heartbleed/

修复方法：

目前官方回复1.0.1与1.0.2beta版本与1.0.1f与1.0.2-beta1受到影响，请大家升级相应版本至1.0.1g以及1.0.2修复该漏洞。公告详情：http://www.openssl.org/news/secadv_20140407.txt