OpenSSL心脏出血漏洞
来源:互联网 发布:公共资源交易中心 知乎 编辑:程序博客网 时间:2024/04/26 23:58
当用户使用类似于Facebook或Gmail等用户认为安全的网站发送信息时,对端计算机需要了解另一端的计算机是否仍然在线,所以他们会发出一个被称为“心脏跳动”(Heartbeat) 的小型数据包,请求对方响应,如果另一端计算机也在线,他们就会使用内存中储存的信息做出响应。通过向存在漏洞的目标发送畸形的Heartbeat请求,攻击者能够诱使对方使用内存中的敏感数据作出回应,从而获得信用卡密码,私人邮件等有价值的信息。
在程序代码中引入Heartbleed的责任人是德国程序员Robin Seggelmann。2011年新年前夕,他向OpenSSL项目递交了一系列漏洞修正和新增功能,其中一个补丁包含着未对长度变量进行验证的漏洞。代码审查者Stephen Henson在审查代码时也没有注意到这个错误,这个bug随后就被包含在了新版OpenSSL中。
Google安全专家Neel Mehta于2014年4月3日率先提交了针对本漏洞的秘密报告。这个编号为CVE-2014-0160的漏洞随后被提名命名为"HeartBleed"(心脏出血),喻指畸形的Heartbeat请求导致用户隐私如血液般涌出。由于未确认心跳包长度与实际载荷长度匹配,因此当其处理畸形的心跳包时就会将心跳包后的内存区块一同发送给对端,从而导致信息泄漏。该漏洞可以被用于让每个心跳包显示至多64千字节的应用程序内存内容。
0 0
- OpenSSL心脏出血漏洞
- OpenSSL“心脏出血”漏洞
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于 OpenSSL“心脏出血”漏洞的分析
- Openssl“心脏出血”漏洞分析及其利用
- 漏洞分析---关于OpenSSL“心脏出血”漏洞的分析
- U-Mail邮件系统客户无需担心OpenSSL心脏出血漏洞
- Heartbleed第三篇:关于OpenSSL“心脏出血”漏洞的分析
- 解码Heartbleed心脏出血漏洞
- 心脏出血漏洞修复记录
- 解码心脏出血漏洞 图解Heartbleed Bug
- Heartbleed心脏出血漏洞靶场搭建
- udp服务器端客户端
- C++11 之for 新解
- CString、string 以及char* 的相互转换
- centos 6.5 下 firefox 的 adobe flash player 安装
- 1.1 PCI总线的组成结构
- OpenSSL心脏出血漏洞
- android客户端与php服务器的json数据简单交互(一)
- SEO学习笔记一(SEO实战密码读书笔记)
- android中方法调用super(..)的相关知识
- XHEditor编辑器的使用方法
- Windows 7 下硬盘安装 Ubuntu 14.04 图文教程
- 请大神帮忙看看啊 怎么回事啊
- cocos2dx游戏开发问题点1.1
- NYOJ--懒省事的小明