【导语】
上期介绍了Bash破壳漏洞,本期为大家介绍影响力可与之相提并论的OpenSSL Heartbleed(心脏出血)漏洞。
【Heartbleed漏洞】
SSL(Secure Sockets Layer安全套接层)是利用浏览器进行加密的一种协议,目前被广泛应用于浏览器与服务器之间的身份认证及数据加密传输,在上网过程中,当浏览器地址栏出现“https://”而非“http://”时,则说明该网站采用了SSL进行加密。
OpenSSL是最著名的SSL开源软件,众多网银、在线支付、电商网站均采用了OpenSSL。2014年4月份,OpenSSL被爆出存在严重的漏洞,名字叫做Heartbleed(心脏出血)(CVE-2014-0160)。通过该漏洞,攻击者可以利用某个函数未做边界检查的缺陷,跟踪到最长达64KB的缓存内容,从而获得用户的账号、密码、密钥等敏感信息。
针对Heartbleed漏洞,可通过升级OpenSSL版本来避免,也可通过相应的安全设备进行防护。在该漏洞爆发后,迪普科技第一时间对全线产品进行测试和验证,确认所有产品并未采用有漏洞的OpenSSL版本,因此不受此漏洞影响。同时,迪普科技迅速发布了最新的特征库,通过各系列安全产品对此漏洞进行封堵,从而确保网络安全稳定运行。
