4 月 7 日星期一,在流行的 OpenSSL 加密库中发现了一个名为“Heartbleed”的重大漏洞,该库广泛用于应用程序和 Web 服务器。因此,Internet 上的站点和服务忙于修补此漏洞并更新 SSL 证书以保护其客户。如前所述,OpenSSL v1.0.1 到 1.0.1f(含)存在漏洞,2014 年 4 月 7 日发布的 OpenSSL 1.0.1g 修复了这个错误。
摘自 Heartbleed.com 说,
Heartbleed Bug 是流行的 OpenSSL 加密软件库中的一个严重漏洞。这个弱点允许窃取在正常情况下由用于保护 Internet 的 SSL/TLS 加密保护的信息。 SSL/TLS 为 Web、电子邮件、即时消息 (IM) 和某些虚拟专用网络 (VPN) 等应用程序提供 Internet 上的通信安全和隐私。
Heartbleed 漏洞允许 Internet 上的任何人读取受 OpenSSL 软件易受攻击版本保护的系统的内存。这允许攻击者窃听通信、直接从服务和用户窃取数据并冒充服务和用户。
检查您的网站或 Android 手机是否受到 Heartbleed 漏洞的影响 –
有一些服务可以告诉您委托给您信息的站点是否存在漏洞,以及其证书何时更新。
Filippo Valsorda 的 Heartbleed 测试 – filippo.io/Heartbleed
输入 URL 或主机名以测试服务器的 Heartbleed (CVE-2014-0160)。您可以指定这样的端口 例子.com:4433.默认为 443。
LastPass Heartbleed 检查器 – lastpass.com/heartbleed
查看站点是否容易受到 Heartbleed 的攻击。它显示站点的服务器软件,说明它是否易受攻击,SSL 证书现在是否安全以及上次创建时间。
Chromebleed(谷歌浏览器扩展)
如果您浏览的站点受 Heartbleed 错误影响,则显示警告。它使用 Filippo 的服务检查页面的 URL。如果您不想手动检查站点,则很有用。
Mashable 编制了一份有趣的知名网站列表,说明了它们的当前状态、它们是否受到影响以及您是否应该更改密码。
适用于 Android 的 Heartbleed 检测器 –
Android 用户可以使用 Lookout Mobile Security 提供的名为“Heartbleed Detector”的免费应用程序轻松检查他们的 Android 设备是否容易受到 HeartBleed 漏洞的影响。该应用程序确定您的设备使用的 OpenSSL 版本。如果您的设备正在运行受影响的 OpenSSL 版本之一,则会检查是否启用了特定的易受攻击行为。
但是,如果您的设备易受攻击,则您无法采取任何必要措施,除非 Google 或您的设备制造商发布了补丁。
标签: Android安全