OpenSSL心脏出血漏洞Heartbleed

2014年4月8日，互联网上曝出了严重一个漏洞称为Heartbleed，该漏洞由安全公司Codenomicon和谷歌安全工程师发现。Heartbleed漏洞，造成许任何人在互联网上阅读系统的内存保护脆弱的OpenSSL的软件版本。 这种妥协密钥用于识别服务提供者和加密流量,用户名和密码的和实际的内容。 这允许攻击者窃听通信、窃取数据直接从服务和用户和模拟服务和用户。

Heartbleed漏洞

1、【Heartbleed漏洞有什么危害？】OpenSSL的代码中存在一个漏洞，可这个漏洞可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息，及其各自传输数据。这个可怕的64K，可以直接看到password也就是用户的密码，下面是一张攻击或者64K的截图

2、我们知道服务器上一般是不会存用户的明文密码的，都是通过把密码经过加密转存在服务器，而且这些加密都是不可逆的，也就是说除了你，没有人知道你的密码，按照这个思维网络是比较安全的，可是在传输数据的时候https使用OpenSSL就会出现上面的情况，就是在处理数据的64K的内存会爆出漏洞，而攻击者就是直接读取64K的数据

3、【有哪些网站收到此影响？】国内几大电商几乎都出现问题，不过在短时间内都是修复了，目前国内比较大的网站都是基本修复了。如果是4月8号登录Https类的网站建议更改下密码，避免密码泄露

4、个人用户也不必太担心，大部分网站已经修复，这个是跟服务器相关，而跟最近Windows XP停止服务，毫无相关！不过针对站长需要注意的是，如果你的服务器正在使用OpenSSL 1.0.1f，请务必立即升级到OpenSSL 1.0.1g