OpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复

OpenSSL v1.0.1到1.0.1f中发现了一个非常严重bug（CVE-2014-0160），该bug允许攻击者读取存在bug的系统的64kb处理内存，暴露加密流量的密钥，用户的名字和密码，以及访问的内容。攻击者可以利用该bug窃听通信，直接从服务和用户窃取数据。

OpenSSL已经发布了1.0.1g修正bug，Debian发行版也在半小时修复了bug，Fedora发布了一个权宜的修正方案。该bug是在2011年引入到OpenSSL中，使用OpenSSL 0.9.8的发行版不受影响。受到影响的操作系统如下：

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

如果你运行存在该bug的系统，那么最好废除所有密钥。具体信息可以访问： http://heartbleed.com/

OpenSSL 的详细介绍：请点这里
OpenSSL 的下载地址：请点这里

推荐阅读：