安全漏洞预警
OpenSSL“心脏滴血”漏洞
2014年04月07日,OpenSSL发布安全公告,在OpenSSL 1.0.1和OpenSSL 1.0.2 Beta1中存在严重漏洞。由于未能正确检测用户输入参数的长度,攻击者可以利用该漏洞,远程读取存在漏洞版本的OpenSSL服务器内存中64 KB的数据,获取内存中的用户名、密码、个人相关信息以及服务器的证书等私密信息。
漏洞详情如下:
漏洞编号:CVE-2014-0160
漏洞名称:OpenSSL“心脏滴血”漏洞
评级:高危
漏洞描述:OpenSSL软件存在“心脏出血”漏洞,该漏洞使攻击者能够从内存中读取多达64 KB的数据,造成信息泄露。
漏洞利用方式:远程利用
漏洞危害:可被用来获取敏感数据,包括会话Session、cookie、账号密码等。
修复方案:
1.升级ECS OpenSSL。
2.修复完毕后,重启Web服务。Apache/Nginx/Httpd的重启方式分别如下:
/etc/init.d/apache2 restart
/etc/init.d/ngnix restart
/etc/init.d/httpd restart
3.使用以下命令查看与OpenSSL库相关的服务,并重启这些服务。
lsof | grep libssl | awk ‘{print $1}’| sort | uniq
热门:阿里云ACP认证考试费用 | 阿里云ACP认证方向 | 阿里云ACP认证证书有效期
推荐:阿里云ACP认证视频课程 | 阿里云ACP认证网络课堂 | 阿里云ACP认证考试大纲下载 | 阿里云ACP网络班招生方案