全部产品
云市场

【漏洞公告】OpenSSL “心脏滴血”漏洞

更新时间:2018-03-08 16:05:52

2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1和OpenSSL 1.0.2 Beta1中存在严重漏洞。由于未能正确检测用户输入参数的长度,攻击者可以利用该漏洞,远程读取存在漏洞版本的OpenSSL服务器内存中64K的数据,获取内存中的用户名、密码、个人相关信息以及服务器的证书等私密信息。

漏洞详情见下文。


漏洞编号

CVE-2014-0160

漏洞名称

OpenSSL “心脏滴血”漏洞

官方评级

高危

漏洞描述

OpenSSL软件存在“心脏出血”漏洞,该漏洞使攻击者能够从内存中读取多达64 KB的数据,造成信息泄露。

漏洞利用方式

远程利用

漏洞危害

可被用来获取敏感数据,包括会话Session、cookie、账号密码等。

修复方案

  1. 升级ECS OpenSSL

  2. 修复完毕后,重启Web服务。Apache/Nginx/Httpd 的重启方式分别如下:

    1. /etc/init.d/apache2 restart
    2. /etc/init.d/ngnix restart
    3. /etc/init.d/httpd restart
  3. 使用以下命令查看与OpenSSL库相关的服务,并重启这些服务。

    1. lsof | grep libssl | awk ‘{print $1}’| sort | uniq