fbpx
维基百科

心脏出血漏洞

十月 05, 2023

心脏出血漏洞(英語:Heartbleed bug),简称为心血漏洞,是一个出现在加密程序库OpenSSL安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查[3],因此漏洞的名称来源于“心跳”(heartbeat)[4]。该程序错误属于缓冲区过读[5],即可以读取的数据比应该允许读取的还多[6]

心脏出血漏洞
心脏出血漏洞的标志。安全公司Codenomicon为其制定了名称,设计了标志,加深了公众对此问题的印象。[1][2]
CVE标识符CVE-2014-0160
发布日期2012年2月1日,​11年前​(2012-02-01
发现日期2014年4月1日,​9年前​(2014-04-01
补丁发布日期2014年4月7日,​9年前​(2014-04-07
发现者尼尔·梅塔
受影响软件OpenSSL (1.0.1)
网站heartbleed.com

心脏出血在通用漏洞披露(CVE)系统中的编号为CVE-2014-0160[5]加拿大网络事故响应中心英语Canadian Cyber Incident Response Centre发布安全公告,提醒系统管理员注意漏洞[7]。2014年4月7日,即漏洞公开披露的同一天,OpenSSL发布了修复后的版本。

截至2014年5月20日 (2014-05-20),在80万最热门的启用TLS的网站中,仍有1.5%易受心脏出血漏洞的攻击。[8]

因为缺陷在于OpenSSL的实现,而不是SSL/TLS协议本身,所以除了OpenSSL之外的其他TLS实现方式,如GnuTLSMozilla网络安全服务(NSS)和Windows平台的TLS实现都不受影响[9]

历史 编辑

2012年2月,传输层安全(TLS)和数据报传输层安全(DTLS)协议的心跳扩展成为了标准,是为RFC 6520[10]。它提供了一种无需每次都重新协商连接,就能测试和保持安全通信链路的方式。2011年,RFC的作者之一,当时杜伊斯堡-埃森大学的博士生罗宾·赛格尔曼(Robin Seggelmann)为OpenSSL实现了心跳扩展。赛格尔曼向OpenSSL发出的推送请求之后[11][12][13],他的更改由OpenSSL四位核心开发者之一的斯蒂芬·N·汉森(Stephen N. Henson)审核。汉森未能注意到赛格尔曼实现中的错误,于2011年12月31日将有缺陷的代码加入了OpenSSL的源代码库。2012年3月14日,OpenSSL 1.0.1版发布,漏洞开始传播。心跳支持默认是启用的,这使受影响的版本易受攻击[14][15][16]

发现 编辑

根据OpenSSL的马克·J·考克斯(Mark J. Cox)的说法,谷歌安全团队的尼尔·梅塔(Neel Mehta)于2014年4月1日11:09 UTC报告了心脏出血漏洞[17]

该漏洞由芬兰网络安全公司Codenomicon的工程师命名,该公司也设计了心脏出血标志,并设立了网站heartbleed.com向公众解释该错误[18]。虽然谷歌的安全团队首先向OpenSSL发送了报告,但谷歌和Codenomicon几乎在同一时间分别独立地发现了这个漏洞[19][14][20]。Codenomicon称它于2014年4月3日发现并通知了NCSC-FI以进行漏洞协调[14][21]

据信在漏洞披露时,约有17%(大约五十万)通过认证机构认证的互联网安全网络服务器容易受到攻击,导致服务器私钥和用户会话cookie及密码被盗[22][23][24][25][26]电子前哨基金会[27]Ars Technica[28]布鲁斯·施奈尔[29]均认为心脏出血漏洞是“灾难性的”。福布斯网络安全专栏作家约瑟夫·斯坦伯格英语Joseph Steinberg写道:

有些人认为,至少就其潜在影响而言,“心脏出血”是自互联网商用以来所发现的最严重的漏洞。[30]

英国内阁发言人建议:

人们应该按照网站建议更改他们所访问网站的密码。 大多数网站已经修复了漏洞,人们听从网站建议,从而决定是否采取行动以及采取什么行动,再合适不过了。[31]

漏洞披露当日,Tor项目在其博客发布公告,建议

如果您在互联网上需要高度的匿名或隐私,在接下来的几天里应该完全远离互联网,直到问题解决。[32]

雪梨晨鋒報于2014年4月15日刊登了事件的时间轴,其中可见一些组织在其公开披露之前就已经修补了漏洞,其中有些组织不清楚他们是如何得知这一消息的[33]

错误修正及部署 编辑

博德·默勒(Bodo Moeller)和谷歌的亚当·兰利(Adam Langley)完成了心脏出血漏洞的修补程序。由此产生的补丁于2014年3月21日加入到了Red Hat的问题跟踪系统中[34]。4月7日,斯蒂芬·N·汉森在OpenSSL版本控制系统中应用了修补程序[35]。第一个修复后的版本1.0.1g于同一天发布。截至2014年6月21日 (2014-06-21),309,197台公共网络服务器仍存在漏洞[36]

证书的更新及撤销 编辑

根据Netcraft英语Netcraft的说法,截至2014年4月11日 (2014-04-11),在超过50万张可能已因心脏出血漏洞而失密的X.509证书中,约3万张已经补发,撤销的并不多。[37]

截至2014年5月9日 (2014-05-09),仅有43%的受影响网站重发了自己的安全证书。此外,在重发的安全证书中,有7%使用了可能已泄露的密钥。Netcraft称:

若重复使用密钥,较之尚未更换SSL证书的网站,这些曾受心脏出血漏洞影响的网站面临的风险仍与之前一模一样。[38]

每周电脑报对此评论,心脏出血漏洞是“可能持续数月,甚至是数年的危险”[39]

利用 编辑

加拿大税务局(CRA)称,900纳税人的社會保險號碼英语Social insurance number遭窃,并表示在2014年4月8日的6个小时内,有人利用了该漏洞得到了这些数据[40]。在发现攻击后,该机构关闭了网站,并将纳税人的申报期限从4月30日延长至了5月5日[41]。该机构表示,将向任何受影响的人提供信誉保障服务,不收取任何费用。4月16日,皇家加拿大騎警宣布,他们已掌握了一名与该盗窃有关的工程学学生信息,并指控其“未经授权使用计算机”及“有关数据的恶作剧”[42][43]

英国育儿网站Mumsnet英语Mumsnet发现部分用户帐户被劫持,CEO被假冒[44]。该网站后发表事件声明,称其是由心脏出血漏洞所导致,且技术人员已将其及时修复[45]

反恶意软件研究人员还利用了该漏洞,访问了网络罪犯的秘密论坛[46]。研究人员还特意设立了存在漏洞的机器以进行研究。例如,在2014年4月12日,至少有两位独立研究人员成功窃取了CloudFlare为此而设立的实验服务器的私钥[47][48]。此外,在2014年4月15日,密歇根大学教授J·亚历克斯·黑尔德曼英语J. Alex Halderman称,他的蜜罐服务器(旨在吸引并研究攻击的刻意留有漏洞的服务器)遭到了无数来自中国的攻击。黑尔德曼得出结论,因为这个服务器相当不起眼,这些很可能是大范围影响互联网的横扫攻击[49]

2014年8月报道称,黑客利用心脏出血漏洞,窃取了美国第二大营利性连锁医院机构社群衛生系統英语Community Health Systems的安全密钥,导致450万份病人病历泄密。入侵发生在该漏洞首次公布后一星期[50]

事先可能的了解及利用 编辑

在公布后数日,许多大型网站修补了漏洞,或禁用了心跳扩展[51],但不清楚是否潜在攻击者早就意识到了这一点,及利用程度几何。

研究人员在检查审核日志后认为,至少在发现和公布的5个月前,一些攻击者可能已经利用了这个漏洞[52][53]。不过Errata Security指出,于漏洞公开的六个月前发布并广泛使用的非恶意程序“Masscan”,会像漏洞所表现的那样,于握手时突然终止连接,从而生成相同的服务器日志消息。该公司还表示:“两样会产生相同错误消息的新东西看起来可能是有关连的,但当然,其实他们并不相关。”[54]

彭博新闻社,二位不愿透露姓名的内部人士称,美国国家安全局(NSA)在漏洞出现后不久就知道了它的存在,但却没有公布,而是将其作为零日漏洞予以保密,以便能为己所用[55][56][57]。NSA否认了这一说法[58]美國國家情報和通信技術審議小組英语Director of National Intelligence Review Group on Intelligence and Communications Technologies理查德·A·克拉克英语Richard A. Clarke也予以否认,该小组负责审查美国的电子监控政策。2014年4月11日,克拉克向路透社表示,NSA之前并不知道该漏洞[59]。有关指控促使美国政府首次就其零日漏洞政策发表公开声明,接受审查小组2013年的报告中所提的建议,“在几乎所有的情况,消除广泛使用的软件代码中的漏洞比起利用它们进行情报搜集更符合美国的国家利益”,并称保密漏洞的权力将由NSA转移到白宫[60]

表现 编辑

 
漏洞的解释

RFC 6520心跳扩展定义了一种测试TLS/DTLS安全通信链路的方法,允许连接一端的计算机发送“心跳请求”消息,消息包含有效载荷(通常是文本字符串),附带有效载荷的长度(用16位整数表示)。随后,接收方计算机必须发送完全相同的有效载荷以返回给发送方。

受影响的OpenSSL版本根据请求消息中的长度字段分配内存缓冲区,用于存储要返回的消息,而不考虑消息中有效载荷的实际长度。因为缺少边界检查,返回的消息不仅包括有效载荷,还可能含有其他恰巧在已分配缓冲区中的消息。

因此,通过构造出载荷短、长度字段中的数值却很大的请求,向存在缺陷的一方(通常是服务器)发送畸形心跳包,利用心脏出血漏洞,引起受害者的回应,这样,攻击者便可读取到受害者内存中至多64千字节的信息,而这块区域先前OpenSSL有可能已经使用过[61]。例如,正常的心跳请求可能会要求一方“返回4个字符的单词‘bird’”,那一方就返回“bird”;“心脏出血请求”(恶意的心跳请求)如“返回500个字符的单词‘bird’”会导致受害者返回“bird”,紧接着是恰储存在受害者活跃内存中的496个字符。这样,攻击者便可能会收到敏感数据,从而危及受害者其它安全通信的保密性。虽然攻击者能对返回的内存块大小有所控制,但却无法决定它的位置,因而不能指定要显示内容。

受影响的OpenSSL实例 编辑

受影响的OpenSSL版本为1.0.1至1.0.1f(含)。较新版本(1.0.1g[62]以上)及先前版本(1.0.0分支以前)不受影响[63]。受影响的版本实例均存在缺陷,除非在OpenSSL编译时加上-DOPENSSL_NO_HEARTBEATS[64][65]

存在缺陷的程序和函数 编辑

存在缺陷的程序的源文件为t1_lib.c及d1_both.c,而存在缺陷的函数为tls1_process_heartbeat()及dtls1_process_heartbeat()。[66][67]

补丁 编辑

可通过忽略要求了比负载更多的数据的心跳请求消息来修复此问题。

OpenSSL版本1.0.1g增加了一些边界检查,以防止过度读取缓冲区。例如,已添加了下列测试,以丢弃将引发心脏出血漏洞的心跳请求,以防产生回复: 

if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* silently discard per RFC 6520 sec. 4 */

版本控制系统有完整的更改列表。[35]

影响 编辑

经由心脏出血漏洞发动攻击,获得的数据可能包括TLS双方将要交换、但尚未加密的机密内容,包括在用户请求中各种格式的post英语POST (HTTP)数据。此外,泄漏的数据还可能含有身份验证密令,如会话cookie及密码,可使攻击者向该服务冒充此用户。[68]

攻击还可能泄漏受攻击双方的私钥[14][16][69],这将使攻击者能解密通信内容(将来或是之前通过被动窃听捕获而存储的通信,除非使用完全正向保密,而在这种情况下,只能解密将来通过中间人攻击截获的通信)。

即使漏洞修复之后,获得受害者认证资料的攻击者仍能伪装成资料的拥有者,只要该资料能被接受(例如,在更改密码或撤销私钥之前)。因此,漏洞对保密性构成了致命威胁。然而,冒充受害人的攻击者也能修改数据,所以间接的后果可能不只是系统机密泄漏那么简单。[70]

一项于2014年4月对美国成人进行的调查显示,60%的人听说过心脏出血漏洞。使用互联网的受访者中有39%的人采取了行动以保护他们的在线账户,如更改密码或注销账户;29%的人认为他们的个人信息因漏洞而处于危险之中;6%的人认为他们的个人信息已遭窃取。[71]

客户端漏洞 编辑

虽然该漏洞更多因其对服务器的威胁而受关注[72],使用受影响OpenSSL实例的TLS客户端也易受攻击。恶意服务器能利用该漏洞从易受攻击的客户端的内存中读取数据,这就是卫报所称的“逆向心脏出血漏洞”[73]。安全研究员史蒂夫·吉布森(Steve Gibson)在谈及该漏洞时称,

它不只是服务器端的漏洞,它也是客户端的漏洞,因为服务器、或你连接的任何人,都能向你请求心跳包,正如你能向他们请求一样。[74]

失窃数据可能包含用户名和密码[75]。逆向心脏出血漏洞影响了数以百万计的应用实例[73]。部分易受攻击的应用程序列于下面的“应用软件”一节中

具体受影响的系统 编辑

思科系统已确认其下78种产品存在缺陷,包括IP电话系统和网真(视频会议)系统。[76]

网站及其它在线服务 编辑

 
泄露的IFTTT用户信息

2014年4月8日,GitHub上有一项对访问量最大的网站的分析,发现受影响的网站包括雅虎ImgurStack OverflowSlateDuckDuckGo[77][78]。下列网站已发布公告,因受漏洞影响,建议用户更改密码:

加拿大联邦政府出于漏洞的安全考虑,暂时关闭了加拿大税务局(CRA)及多个政府部门的在线服务[103][104]

平台维护者(如维基媒体基金会)建议他们的用户更改密码[100]

LastPass的服务器存在缺陷[105],但因额外的加密及正向安全,潜在的攻击者无法利用此漏洞。不过LastPass仍建议用户修改所有受影响网站账户的密码[106]

Tor项目建议中继和隐蔽服务的运行者在修补OpenSSL后,应撤销并生成新密钥,但同时指出,两套Tor中继密钥及多跳设计最大限度地减少了单一中继遭窃取所造成的影响[32]。作为预防措施,随后发现存在漏洞的586个中继被强制下线[107][108][109][110]

包括Steam我的世界戰遊網英雄联盟GOG.comOrigin索尼線上娛樂Humble Bundle流亡黯道在内的游戏受到影响,随后得到修复[111]

应用软件 编辑

存在缺陷的应用软件包括:

  • 若干惠普服务器应用程序,如Linux和Windows上的HP系统管理主页(SMH)。[112]
  • FileMaker 13的某些版本[113]
  • LibreOffice 4.2.0至4.2.2(4.2.3已修复)[114][115]
  • LogMeIn英语LogMeIn声称已“更新许多我们依赖OpenSSL的产品和服务组件”。[116]
  • 若干McAfee产品,即为Microsoft Exchange、软件防火墙、及McAfee电子邮件和网页网关提供病毒防护的软件的某些版本[117]
  • MySQL Workbench 6.1.4及更早[118]
  • Oracle MySQL Connector/C 6.1.0-6.1.3和Connector/ODBC 5.1.13、5.2.5-5.2.6、5.3.2[118]
  • 甲骨文大数据机英语Oracle Big Data Appliance(包括Oracle Linux 6)[118]
  • Primavera英语Primavera (software) P6专业项目管理(包括Primavera P6企业项目组合管理)[118]
  • WinSCP(Windows FTP客户端)5.5.2及一些早期版本(仅当通过TLS/SSL使用FTP时,于5.5.3版本修复)[119]
  • 若干VMware产品,包括VMware ESXi 5.5、VMware Player 6.0、VMware Workstation 10及Horizon系列产品、仿真器和云计算套件[120]

其他几个甲骨文公司的应用程序受到影响。[118]

操作系统/固件 编辑

若干GNU/Linux发行版都受到了影响,包括Debian[121](及其衍生版,如Linux MintUbuntu[122])和Red Hat Enterprise Linux[123](及其衍生版,如CentOS[124]Oracle Linux 6[118]Amazon Linux英语Amazon Linux[125]),还有下列操作系统及固件:

  • Android 4.1.1,在各种便携式设备中使用[126]。克里斯·史密斯(Chris Smith)在Boy Genius Report写道,仅这一版本受影响,但它却是Android很受欢迎的一版(Chitika英语Chitika声称50万台设备运行着4.1.1[127];谷歌则称不到总激活设备的10%)。其它Android版本不存在缺陷,因其或禁用了心跳,或使用的是不受影响的OpenSSL版本[128][129]
  • 某些AirPort基站的固件[130]
  • 某些思科系统路由的固件[76][131][132]
  • 某些Juniper Networks路由的固件[132][133]
  • IPCop英语IPCop 2.1.3及某些早期版本(于2.1.4修复)[134]
  • pfSense 2.1.0及2.1.1(于2.1.2修复)[135]
  • 威騰電子My Cloud产品系列的固件[136]

漏洞检测服务 编辑

一些网站推出了测试,检测给定的网站上是否存在心脏出血漏洞。然而,据称许多这种测试都不是很有效[137]。可用的工具包括:

  • Tripwire SecureScan[138]
  • AppCheck——静态二进制文件扫描,来自Codenomicon[139]
  • Arbor Network的Pravail Security Analytics[140]
  • Norton Safeweb心脏出血测试工具[141]
  • 欧洲IT安全公司的心脏出血测试工具[142]
  • 心脏出血扫描器,来自意大利信息安全专家菲利普·瓦尔索达(Filippo Valsorda)[143]
  • Cyberoam英语Cyberoam的心脏出血测试[144]
  • Critical Watch免费在线心脏出血测试器[145]
  • Metasploit心脏出血扫描模块[146]
  • Rehmann的心脏出血服务器扫描[147]
  • Lookout手机安全公司英语Lookout Mobile Security心脏出血探测器,一个用于安卓设备的应用程序,可确定设备使用的OpenSSL版本,并指出是否启用了有缺陷的心跳特性[148]
  • LastPass的心脏出血检查器[149]
  • Pentest-Tools.com的在线心脏出血漏洞网络范围扫描器[150]
  • 以Python语言写成的红帽公司官方离线扫描器[151]
  • Qualys英语Qualys SSL实验室的SSL服务器测试[152],不仅能查找心脏出血漏洞,还能找到其他SSL/TLS实现中的错误。
  • 浏览器扩展,如Chromebleed[153]和FoxBleed[154]
  • SSL Diagnos[155]
  • CrowdStrike心脏出血扫描器[156] - 扫描路由器、打印机及其他连接到网络的设备,包括Intranet网站。[157]
  • Netcraft英语Netcraft网站报告[158] - 基于Netcraft的SSL调查数据,确定网站在漏洞公开之前是否提供了TLS心跳扩展,以此指出网站的保密性是否受到危害。Netcraft的Chrome、Firefox和Opera[159]也能进行同样的检查,同时寻找可能已失密的证书[160]

其他安全工具添加了相应功能,以查找此漏洞。例如,Tenable Network Security英语Tenable Network Security为其Nessus漏洞扫描器写了插件,以扫描出此问题[161]Nmap安全扫描器自6.45版本起包含了心脏出血检测脚本[162]

Sourcefire英语Sourcefire已经发布了Snort规则,以检测心脏出血攻击流量和可能的心脏出血响应流量[163]。开源数据包分析软件,如Wiresharktcpdump,使用特定的BPF数据包过滤器,将其作用于捕获并存储的数据包和实时流量上,可以识别出心脏出血包[164]

补救 编辑

通过将OpenSSL更新到已修补的版本(1.0.1g或更高版本),可以解决心脏出血漏洞。OpenSSL可以用作独立程序、动态共享对象静态链接库,因此,更新可能需要重新启动加载了OpenSSL易受攻击版本的进程,及重新链接静态链接它的程序和库。实际上,这意味着更新静态链接OpenSSL的软件包,并重新启动正在运行的程序,以删除内存中旧的、易受攻击的OpenSSL代码副本。

在漏洞修复后,服务器管理员必须解决保密数据可能泄漏的问题。因为心脏出血允许攻击者得到私钥,所以必须认为这些密钥已泄密。须重新生成密钥对,使用它们的证书也要重新签发,并且吊销旧证书。心脏出血也有可能会泄漏其他在内存中的保密数据,因此,其他认证材料(如密码)也应该重新生成。很难确定受影响的系统是否没有受到损害,或者某个特定信息是否已被泄露。[165]

浏览器安全证书吊销感知 编辑

由于漏洞威胁着私钥的安全,即使是在漏洞已修复、先前的证书已吊销后,如果受攻击网站的用户所使用的浏览器无法发现证书已吊销,漏洞仍会对他们有影响。安全证书吊销感知测试虽不测试系统是否存在心脏出血漏洞,但让用户测试他们的网页浏览器,在网站使用的证书已吊销的情况下,是否允许继续访问[166]。因此,修复此漏洞,用户还需要更新浏览器,确保具有最新的证书吊销列表(或OCSP支持)及证书吊销功能。

根本原因、可能的教训及回应 编辑

漏洞造成的损失难以评估,不过据eWEEK英语eWeek估计至少为5亿美元[167]

戴维·A·惠勒英语David A. Wheeler在论文《如何防止下一个心脏出血漏洞》中分析了为什么没能更早发现漏洞,并且提出了几种可能能更快识别漏洞,以及减小其影响的方法。据惠勒所言,要防止心脏出血漏洞,最有效的方法是用一套非典型的测试套件彻底执行他所说的“负面测试”,即测试无效的输入是否会导致程序失败,而非成功。惠勒强调,应有一套通用的测试套件以作为所有TLS实现的基础[168]

The Conversation上罗伯特·默克尔(Robert Merkel)的文章,心脏出血漏洞揭示了“风险分析上的巨大失败”。默克尔认为,OpenSSL注重性能,而不是安全,在他看来这毫无意义。但他认为,与其指责OpenSSL还不如指责它的用户,他们选择使用OpenSSL却并未提供资金以进行更好的审查和测试。他解释道,有两方面因素决定了将来还有出现类似安全漏洞的风险。首先,程序库的源代码会影响写出有类似影响漏洞的可能。默克尔提到,使用C语言就是一个有利于此种漏洞出现的危险因素,这与惠勒的分析一致。其次,OpenSSL的贡献流程会影响能快速修复错误的机率[168][169]

塔林理工大学的简思·格特鲁(Jens Getreu)在他的文章中提到,如果OpenSSL使用保证内存安全的Rust语言开发,那么心脏出血漏洞本来是可以避免的[170]。百度则使用Rust语言实现了MesaLink TLS项目;MesaLink提供和OpenSSL兼容的API,从而可以在cURL等项目中替换OpenSSL[171]

西奥·德·若特OpenBSDOpenSSH项目的创始人和领导者,就同一方面批评OpenSSL的开发人员编写自己的内存管理程序,如他所说的那样,这就绕过了OpenBSD C标准函数库对漏洞的防范,他说“OpenSSL是由一个不负责任的团队开发的。”[172][173]继心脏出血漏洞披露之后,OpenBSD项目的成员从OpenSSL复刻出了LibreSSL[174]

修改程序而导致该漏洞的程序员罗宾·赛格尔曼[175]声称自己“忽略掉了对长度变量的验证”,并否认提交有缺陷的实现是刻意为之[11]。在漏洞公开后,赛格尔曼就另一方面提出了建议,指出OpenSSL没有经过足够多的人的审查。[176]虽然他的工作经过了OpenSSL核心开发人员的审查,审查的目的却主要是验证功能的改进是否正确,这会使漏洞更容易放过[168]

OpenSSL核心开发者本·劳里英语Ben Laurie称,OpenSSL的安全审查本可以发现心脏出血漏洞[177]。软件工程师约翰·沃尔什(John Walsh)评论道:

想想看,OpenSSL仅有两名(全职)雇员,却要编写、维护、测试、审查50万行的关键业务代码。[178]

OpenSSL基金会主席史蒂夫·马奎斯(Steve Marquess)说:“奇怪之处不在于几名超负荷工作的志愿者漏过了这个错误;真正神奇的是这种事之前都没有发生。”[179]戴维·A·惠勒认为通常情况下,审查是一种发现漏洞的很好方式,但他指出,“OpenSSL使用了过于复杂的结构,使它更难为人类和机器所审查。”他写道:

在简化代码上应不断努力,否则若只是添加功能,软件的复杂度就会逐渐增加。随着时间的推移,代码应及时重构,使之简洁明了,而不只是不断地添加新功能。要达成的目标应该是让代码“显然正确”,而不是使代码变得太复杂,以至于“我看不出有什么问题”。[168]

LibreSSL进行了大规模的代码清理,仅在第一周内就移除了超过90000行C代码。[180]

据安全研究人员丹·卡明斯基英语Dan Kaminsky说,心脏出血漏洞是该基金会经济问题的征兆,这需要解决。从发现这个在“关键”依赖包中一个简单功能的简单错误所花费的时间来看,卡明斯基担心如不采取任何措施,未来还会有无数这样的漏洞。在发现漏洞时,OpenSSL仅有少数志愿者负责维护,其中只有一人将其作为全职工作[181]。每年OpenSSL项目收到的捐款大约为2000美元[182]。Codenomicon的心脏出血漏洞网站呼吁为OpenSSL项目捐款[14]。在了解到漏洞披露后的两三天内,捐款总额为841美元后,卡明斯基说:“我们正在制造全球经济中最重要的技术,依靠的却是投入资金少得让人惊讶的基础设施。”[183]核心开发者本·劳里则认为项目资金“完全没有着落”[182]。尽管OpenSSL软件基金会没有错误赏金计划英语bug bounty program,但互联网错误赏金计划主动给发现心脏出血漏洞的尼尔·梅塔奖励了15000美元,以表彰她将其披露的负责任行为[182]

保罗·基乌萨诺(Paul Chiusano)认为是软件经济学的失败导致了此漏洞。[184]

面对此次危机,行业集体反应,2014年4月24日Linux基金会宣布成立核心基础架构联盟英语Core Infrastructure Initiative,这是一个数百万美元的项目,能为处在全球信息基础架构中的关键要素提供资金[185]。出资人包括亚马逊、戴尔、Facebook、富士通、谷歌、IBM、英特尔、微软、NetApp、Rackspace、VMware和Linux基金会。该联盟旨在让开发人员能全职在项目上工作,并且支付安全审计、硬件和软件基础设施,旅行及其他费用[186]。OpenSSL是该联盟资金首位获得者的候选人[185]

此漏洞后,谷歌成立了Project Zero寻找零日漏洞,来帮助保护网络和社会。[187]

参考 编辑

  1. ^ McKenzie, Patrick. What Heartbleed Can Teach The OSS Community About Marketing. Kalzumeus. 2014-04-09 [2018-02-08]. (原始内容于2017-12-20). 
  2. ^ Biggs, John. Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. 2014-04-09 [2018-02-08]. (原始内容于2018-02-11) (英语). 
  3. ^ Security Advisory – OpenSSL Heartbleed Vulnerability. Cyberoam. 2014-04-11 [2018-02-08]. (原始内容于2018-02-08). 
  4. ^ Limer, Eric. How Heartbleed Works: The Code Behind the Internet's Security Nightmare. 2014-04-09 [2014-11-24]. (原始内容于2014-11-11). 
  5. ^ 5.0 5.1 . Common Vulnerabilities and Exposures. Mitre. [2018-02-08]. (原始内容存档于2018-01-24) (英语). 
  6. ^ CWE-126: Buffer Over-read (3.0). Common Vulnerabilities and Exposures. Mitre. 2018-01-18 [2018-02-08]. (原始内容于2018-02-08) (英语). 
  7. ^ AL14-005: OpenSSL Heartbleed Vulnerability. Cyber Security Bulletins. Public Safety Canada. 2014-04-11 [2018-02-08]. (原始内容于2018-02-08) (英语). 
  8. ^ Leyden, John. AVG on Heartbleed: It's dangerous to go alone. Take this (an AVG tool). The Register. 2014-05-20 [2018-02-08]. (原始内容于2018-01-23) (英语). 
  9. ^ Pretorius, Tracey. Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability. Microsoft. 2014-04-10 [2018-02-08]. (原始内容于2018-02-08) (美国英语). 
  10. ^ Seggelmann, Robin; Tuexen, Michael; Williams, Michael. Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension. IETF. 2012-02 [2018-02-08]. doi:10.17487/RFC6520. RFC 6520. ISSN 2070-1721. 
  11. ^ 11.0 11.1 Grubb, Ben. Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately. The Sydney Morning Herald. 2014-04-11. (原始内容于2014-04-12). 
  12. ^ #2658: [PATCH] Add TLS/DTLS Heartbeats. OpenSSL. 2011. (原始内容于2017-08-08). 
  13. ^ Meet the man who created the bug that almost broke the Internet. Globe and Mail. 2014-04-11. (原始内容于2018-01-04). 
  14. ^ 14.0 14.1 14.2 14.3 14.4 . 2014-04-08 [2014-04-10]. (原始内容存档于2014-04-07). 
  15. ^ Goodin, Dan. Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping. Ars Technica. 2014-04-08. (原始内容存档于2017-12-30). 
  16. ^ 16.0 16.1 Bar-El, Hagai. OpenSSL "Heartbleed" bug: what's at risk on the server and what is not. 2014-04-09. (原始内容于2014-04-13). 
  17. ^ Mark J Cox – #Heartbleed. [2014-04-12]. (原始内容于2014-04-16). 
  18. ^ Dewey, Caitlin. Why is it called the 'Heartbleed Bug'?. [2014-11-25]. (原始内容于2014-10-09). 
  19. ^ Lee, Timothy B. Who discovered the vulnerability?. Vox. 2014-04-10 [2017-12-04]. (原始内容于2017-12-05) (英语). 
  20. ^ Lee, Ariana. How Codenomicon Found The Heartbleed Bug Now Plaguing The Internet - ReadWrite. ReadWrite. 2014-04-13 [2017-12-04]. (原始内容于2017-09-05) (美国英语). Discovered independently by Google engineer Neel Mehta and the Finnish security firm Codenomicon, Heartbleed has been called “one of the most serious security problems to ever affect the modern web.”(由谷歌工程师尼尔·梅塔和芬兰安全公司Codenomicon独立发现,心脏出血被称为“影响现代网络的最严重的安全问题之一”。) 
  21. ^ Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä – transl/Finnish researchers found a serious leakage of the heart of the Internet. 2014-04-10 [2014-04-13]. (原始内容于2014-11-04). 
  22. ^ Mutton, Paul. Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd. 2014-04-08 [2014-11-24]. (原始内容于2014年11月19日). 
  23. ^ Perlroth, Nicole; Hardy, Quentin. Heartbleed Flaw Could Reach to Digital Devices, Experts Say. New York Times. 2014-04-11. (原始内容于2018-02-25). 
  24. ^ Chen, Brian X. Q. and A. on Heartbleed: A Flaw Missed by the Masses. New York Times. 2014-04-09. (原始内容存档于2014-04-12). 
  25. ^ Wood, Molly. Flaw Calls for Altering Passwords, Experts Say. New York Times. 2014-04-10. (原始内容于2017-10-19). 
  26. ^ Manjoo, Farhad. Users' Stark Reminder: As Web Grows, It Grows Less Secure. New York Times. 2014-04-10. (原始内容于2018-02-24). 
  27. ^ Zhu, Yan. Why the Web Needs Perfect Forward Secrecy More Than Ever. Electronic Frontier Foundation. 2014-04-08. (原始内容于2017-12-20). 
  28. ^ Goodin, Dan. Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style. Ars Technica. 2014-04-08. (原始内容于2017-07-14). 
  29. ^ . Schneier on Security. 2014-04-11 [2014-04-10]. (原始内容存档于2017-12-23). 
  30. ^ Joseph Steinberg. Massive Internet Security Vulnerability – Here's What You Need To Do. Forbes. 2014-04-10. (原始内容于2018-01-04). 
  31. ^ Kelion, Leo. BBC News – US government warns of Heartbleed bug danger. BBC. 2014-04-11. (原始内容于2017-12-19). 
  32. ^ 32.0 32.1 OpenSSL bug CVE-2014-0160. Tor Project. 2014-04-07. (原始内容于2017-07-10). 
  33. ^ Grubb, Ben, Heartbleed disclosure timeline: who knew what and when, The Sydney Morning Herald, 2014-04-14 [2014-11-25], (原始内容于2014-11-25) 
  34. ^ heartbeat_fix. [2014-04-14]. (原始内容于2018-11-19). 
  35. ^ 35.0 35.1 . The OpenSSL Project. 2014-04-07 [2014-04-10]. (原始内容存档于2014-04-13). 
  36. ^ Graham, Robert. 300k servers vulnerable to Heartbleed two months later. Errata Security. 2014-06-21 [2014-06-22]. (原始内容于2014-06-23). 
  37. ^ Heartbleed certificate revocation tsunami yet to arrive. Netcraft. 2014-04-11 [2014-04-24]. (原始内容于2014-05-29). 
  38. ^ Paul Mutton. Keys left unchanged in many Heartbleed replacement certificates!. Netcraft. 2014-05-09 [2016-09-11]. (原始内容于2016年8月27日). 
  39. ^ Sean Michael Kerner. Heartbleed Still a Threat to Hundreds of Thousands of Servers. eWEEK英语eWeek. 2014-05-10 [2014-12-31]. (原始内容存档于2014-05-11). 
  40. ^ Evans, Pete, Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC News, 2014-04-14, (原始内容于2018-03-14) 某些细节位于页面链接的视频中。
  41. ^ . 2014-04-14 [2014-11-04]. (原始内容存档于2014-11-04). 
  42. ^ Thibedeau, Hannah. Heartbleed bug accused charged by RCMP after SIN breach. CBC News. 2014-04-16. (原始内容于2014-10-28). 
  43. ^ Heartbleed hack case sees first arrest in Canada. BBC News. 2014-04-16. (原始内容于2018-01-17). 
  44. ^ 44.0 44.1 Kelion, Leo. BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency. BBC News. 2014-04-14. (原始内容于2017-11-29). 
  45. ^ . Mumsnet. [2015-02-27]. (原始内容存档于2017-12-29). 
  46. ^ Ward, Mark. Heartbleed used to uncover data from cyber-criminals. BBC News. 2014-04-29. (原始内容于2018-01-06). 
  47. ^ Lawler, Richard. Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible. Engadget. 2014-04-11. (原始内容于2017-12-29). 
  48. ^ . CloudFlare. 2014. (原始内容存档于2014-04-12). 
  49. ^ Robertson, Jordan. Hackers from China waste little time in exploiting Heartbleed. The Sydney Morning Herald. 2014-04-16. (原始内容于2017-12-28). 
  50. ^ Sam Frizell. Time Magazine: Report: Devastating Heartbleed Flaw Was Used in Hospital Hack. [2014-10-07]. (原始内容于2014-10-07). 
  51. ^ Cipriani, Jason. Heartbleed bug: Check which sites have been patched. CNET. 2014-04-09. (原始内容于2017-12-29). 
  52. ^ Gallagher, Sean. Heartbleed vulnerability may have been exploited months before patch. Ars Technica. 2014-04-09. (原始内容于2017-03-03). 
  53. ^ Eckersley, Peter. Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?. Eff.org. [2014-11-25]. (原始内容存档于2014-11-26). 
  54. ^ Graham, Robert. . Errata Security. 2014-04-09 [2014-04-11]. (原始内容存档于2017-10-16). 
  55. ^ Riley, Michael. NSA Said to Exploit Heartbleed Bug for Intelligence for Years. Bloomberg L.P. 2014-04-12. (原始内容于2014-04-11). 
  56. ^ Molina, Brett. Report: NSA exploited Heartbleed for years. USA Today. [2014-04-11]. (原始内容于2014-04-11). 
  57. ^ Riley, Michael. NSA exploited Heartbleed bug for two years to gather intelligence, sources say. Financial Post. [2014-04-11]. (原始内容于2014-04-11). 
  58. ^ . National Security Agency. 2014-04-11 [2014-12-31]. (原始内容存档于2017-12-27). 
  59. ^ Mark Hosenball; Will Dunham. White House, spy agencies deny NSA exploited 'Heartbleed' bug. Reuters. 2014-04-11. (原始内容于2014-04-15). 
  60. ^ Zetter, Kim. U.S. Gov Insists It Doesn’t Stockpile Zero-Day Exploits to Hack Enemies. wired.com. [2014-11-25]. (原始内容于2014-11-29). 
  61. ^ Hunt, Troy. . 2014-04-09 [2014-04-11]. (原始内容存档于2014-04-11). 
  62. ^ . git.openssl.org. [2014-11-25]. (原始内容存档于2014-04-15). 
  63. ^ Spiceworks Community Discussions. community.spiceworks.com. [2014-04-11]. (原始内容于2014-04-15). 
  64. ^ The OpenSSL Project. . 2014-04-07 [2014-04-10]. (原始内容存档于2014-04-08). 
  65. ^ . [2014-04-09]. (原始内容存档于2014年7月5日). 
  66. ^ . cyberoam.com. [2014-04-11]. (原始内容存档于2014-04-15). 
  67. ^ tls1_process_heartbeat [9 April 2014]. [2014-04-10]. (原始内容于2014年8月26日). 
  68. ^ . IPSec.pl. 2014 [2014-04-10]. (原始内容存档于2014-04-08). 
  69. ^ John Graham-Cumming. Searching for The Prime Suspect: How Heartbleed Leaked Private Keys. CloudFlare. 2014-04-28 [2014-06-07]. (原始内容存档于2017-12-28). 
  70. ^ Judge, Kevin. . [2014-08-25]. (原始内容存档于2014年8月26日). 
  71. ^ Lee Rainie; Maeve Duggan. Heartbleed’s Impact. Pew Research Internet Project. Pew Research Center: 2. 2014-04-30. (原始内容于2017-12-28). 
  72. ^ Bradley, Tony. Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack. PCWorld. IDG Consumer & SMB. 2014-04-14. (原始内容于2016-12-02). 
  73. ^ 73.0 73.1 Charles Arthur. Heartbleed makes 50m Android phones vulnerable, data shows. The Guardian. Guardian News and Media Limited. 2014-04-15. (原始内容于2017-12-29). 
  74. ^ Security Now 451. Twit.Tv. [2014-04-19]. (原始内容于2014-04-19). 
  75. ^ Ramzan, Zulfikar. 'Reverse Heartbleed' can attack PCs and mobile phones. SC Magazine. Haymarket Media, Inc. 2014-04-24. (原始内容于2016-10-06). 
  76. ^ 76.0 76.1 OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products. Cisco Systems. 2014-04-09. (原始内容于2017-12-29). 
  77. ^ heartbleed-masstest: Overview. GitHub. [2014-04-19]. (原始内容于2014-06-01). 
  78. ^ Cipriani, Jason. Which sites have patched the Heartbleed bug?. CNET. 2014-04-10 [2014-04-10]. (原始内容于2014-04-11). 
  79. ^ Heartbleed FAQ: Akamai Systems Patched. Akamai Technologies. 2014-04-08. (原始内容于2014-04-08). 
  80. ^ AWS Services Updated to Address OpenSSL Vulnerability. Amazon Web Services. 2014-04-08. (原始内容于2014-04-11). 
  81. ^ Dear readers, please change your Ars account passwords ASAP. Ars Technica. 2014-04-08. (原始内容存档于2017-06-16). 
  82. ^ All Heartbleed upgrades are now complete. BitBucket Blog. 2014-04-09. (原始内容存档于2014-04-11). 
  83. ^ Keeping Your BrandVerity Account Safe from the Heartbleed Bug. BrandVerity Blog. 2014-04-09. (原始内容存档于2014-04-11). 
  84. ^ Twitter / freenodestaff: we've had to restart a bunch.... 2014-04-08. (原始内容于2014-04-14). 
  85. ^ Security: Heartbleed vulnerability. GitHub. 2014-04-08. (原始内容于2014-04-10). 
  86. ^ IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed. LifeHacker英语LifeHacker. 2014-04-08. (原始内容于2014-04-13). 
  87. ^ Heartbleed bug and the Archive | Internet Archive Blogs. Blog.archive.org. 2014-04-09 [2014-04-14]. 
  88. ^ Twitter / KrisJelbring: If you logged in to any of. Twitter.com. 2014-04-08 [2014-04-14]. (原始内容于2014-04-14). 
  89. ^ The widespread OpenSSL ‘Heartbleed' bug is patched in PeerJ. PeerJ英语PeerJ. 2014-04-09. (原始内容存档于2014-04-11). 
  90. ^ . Help Center. Pinterest. [2014-04-20]. (原始内容存档于2014-04-21). 
  91. ^ . [2014-04-13]. (原始内容存档于2014-06-05). 
  92. ^ Staff. We recommend that you change your reddit password. Reddit. 2014-04-14 [2014-04-14]. (原始内容于2014-04-15). 
  93. ^ IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI. [2014-04-13]. (原始内容于2013-07-28). 
  94. ^ Codey, Brendan. Security Update: We're going to sign out everyone today, here's why. SoundCloud. 2014-04-09. (原始内容存档于2014-04-12). 
  95. ^ SourceForge response to Heartbleed. SourceForge. 2014-04-10. (原始内容于2014-04-11). 
  96. ^ Heartbleed. SparkFun英语SparkFun Electronics. 2014-04-09. (原始内容于2014-04-13). 
  97. ^ Heartbleed. Stripe. 2014-04-09 [2014-04-10]. (原始内容于2014-04-13). 
  98. ^ Tumblr Staff-Urgent security update. 2014-04-08 [2014-04-09]. (原始内容于2014-04-09). 
  99. ^ Hern, Alex. Heartbleed: don't rush to update passwords, security experts warn. The Guardian. 2014-04-09. (原始内容于2015-01-07). 
  100. ^ 100.0 100.1 Grossmeier, Greg. [Wikitech-l] Fwd: Security precaution – Resetting all user sessions today. Wikimedia Foundation. 2014-04-08 [2014-04-09]. (原始内容于2014-06-18). 
  101. ^ Grossmeier, Greg. Wikimedia's response to the "Heartbleed" security vulnerability. Wikimedia Foundation blog. Wikimedia Foundation. 2014-04-10 [2014-04-10]. (原始内容于2014-04-13). 
  102. ^ . 2014-04-10 [2014-04-10]. (原始内容存档于2014-04-13). 
  103. ^ Security concerns prompts tax agency to shut down website. CTV News. 2014-04-09 [2014-04-09]. (原始内容于2021-01-18). 
  104. ^ Heartbleed: Canadian tax services back online. CBC News. [2014-04-14]. (原始内容于2018-04-25). 
  105. ^ Fiegerman, Seth. The Heartbleed Effect: Password Services Are Having a Moment. Mashable. 2014-04-14. (原始内容于2017-10-16). 
  106. ^ LastPass and the Heartbleed Bug. LastPass. 2014-04-08 [2014-04-28]. (原始内容存档于2017-12-30). 
  107. ^ [tor-relays] Rejecting 380 vulnerable guard/exit keys. Lists.torproject.org. [2014-04-19]. (原始内容于2014-04-19). 
  108. ^ Tor Weekly News—April 16th, 2014 | The Tor Blog. Blog.torproject.org. [2014-04-19]. (原始内容于2014-04-19). 
  109. ^ Gallagher, Sean. Tor network's ranks of relay servers cut because of Heartbleed bug. Ars Technica. 2012-05-17 [2014-04-19]. (原始内容存档于2014-04-20). 
  110. ^ Mimoso, Michael. Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug | Threatpost | The first stop for security news. Threatpost. [2014-04-19]. (原始内容于2014-04-19). 
  111. ^ Paul Younger. PC game services affected by Heartbleed and actions you need to take. IncGamers. 2014-04-11. (原始内容于2014-04-15). 
  112. ^ . 2014-04-18. (原始内容存档于2016-03-04). 
  113. ^ FileMaker products and the Heartbleed bug. 2014-05-06 [2015-01-01]. (原始内容于2016-10-12). 
  114. ^ italovignoli. LibreOffice 4.2.3 is now available for download. The Document Foundation. 2014-04-10 [2014-04-11]. (原始内容于2014-04-12). 
  115. ^ CVE-2014-0160. LibreOffice. 2014-04-07 [2014-05-02]. (原始内容于2014-05-03). 
  116. ^ LogMeIn and OpenSSL. LogMeIn英语LogMeIn. [2014-04-10]. (原始内容存档于2014-04-11). 
  117. ^ McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products. McAfee KnowledgeBase. McAfee. 2014-04-17. (原始内容于2014-04-16). 
  118. ^ 118.0 118.1 118.2 118.3 118.4 118.5 OpenSSL Security Bug - Heartbleed / CVE-2014-0160. [2014-05-12]. (原始内容于2014-05-28). 
  119. ^ Recent Version History. WinSCP. 2014-04-14 [2014-05-02]. (原始内容于2014-04-27). 
  120. ^ Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed". VMware, Inc. [2014-04-17]. (原始内容于2014-04-16). 
  121. ^ DSA-2896-1 openssl—security update. The Debian Project. 2014-04-07. (原始内容于2014-04-11). 
  122. ^ Ubuntu Security Notice USN-2165-1. Canonical, Ltd. 2014-04-07 [2014-04-17]. (原始内容于2014-04-13). 
  123. ^ Important: openssl security update. Red Hat, Inc. 2014-04-08. (原始内容于2014-04-18). 
  124. ^ Karanbir Singh's posting to CentOS-announce. centos.org. 2014-04-08. (原始内容于2014-04-14). 
  125. ^ Amazon Linux AMI Security Advisory: ALAS-2014-320. Amazon Web Services, Inc. 2014-04-07 [2014-04-17]. (原始内容于2014-06-06). 
  126. ^ Android 4.1.1 devices vulnerable to Heartbleed bug, says Google. NDTV Convergence. 2014-04-14. (原始内容于2014-04-20). 
  127. ^ Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug. Fox News. 2014-04-17. (原始内容于2014-04-19). 
  128. ^ Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected. BGR Media. 2014-04-16. (原始内容存档于2016-10-22). 
  129. ^ Blaich, Andrew. . Bluebox. 2014-04-08. (原始内容存档于2014-05-06). 
  130. ^ Snell, Jason. Apple releases Heartbleed fix for AirPort Base Stations. Macworld. 2014-04-22. (原始内容于2014-04-25). 
  131. ^ Kleinman, Alexis. The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do. The Huffington Post. 2014-04-11. (原始内容于2014-04-12). 
  132. ^ 132.0 132.1 Yadron, Danny. Heartbleed Bug Found in Cisco Routers, Juniper Gear. Dow Jones & Company, Inc. 2014-04-10. (原始内容于2014-04-15). 
  133. ^ 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160). Juniper Networks. 2014-04-14. (原始内容于2014-04-16). 
  134. ^ IPCop 2.1.4 is released. IPCop英语IPCop. 2014-04-08 [2014-04-11]. 139697815506679. (原始内容于2020-05-16). 
  135. ^ OpenSSL "Heartbleed" Information Disclosure, ECDSA. pfSense. 2014-04-08 [2014-05-02]. (原始内容于2014-05-02). 
  136. ^ . Western Digital. 2014-04-10. (原始内容存档于2014-04-19). 
  137. ^ Brewster, Tom. Heartbleed: 95% of detection tools 'flawed', claim researchers. The Guardian. Guardian News and Media Limited. 2014-04-16. (原始内容于2014-10-21). 
  138. ^ . Tripwire - Take Control of IT Security and Regulatory Compliance with Tripwire Software. [2014-10-07]. (原始内容存档于2014-04-16). 
  139. ^ . [2014-10-07]. (原始内容存档于2014-10-17). 
  140. ^ . Arbor Network. [2014-10-07]. (原始内容存档于2014-04-11). 
  141. ^ Norton Safeweb Heartbleed Check Tool. [2014-10-07]. (原始内容于2014-10-10). 
  142. ^ Heartbleed OpenSSL extension testing tool, CVE-2014-0160. Possible.lv. [2014-04-11]. (原始内容于2014-04-11). 
  143. ^ Test your server for Heartbleed (CVE-2014-0160). [2014-11-25]. (原始内容于2014-11-25). 
  144. ^ . [2014-11-25]. (原始内容存档于2014-04-15). 
  145. ^ . Heartbleed.criticalwatch.com. [2014-04-14]. (原始内容存档于2014-04-14). 
  146. ^ metasploit-framework/openssl_heartbleed.rb at master. [2014-11-25]. (原始内容于2015-06-28). 
  147. ^ OpenSSL Heartbeat Vulnerability Check (Heartbleed Checker). [2014-11-25]. (原始内容于2014-12-24). 
  148. ^ Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App. Lookout手机安全公司英语Lookout Mobile Security博客. 2014-04-09 [2014-04-10]. (原始内容于2014-04-13). 
  149. ^ Heartbleed checker. LastPass. [2014-04-11]. (原始内容于2014-04-10). 
  150. ^ OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools. Pentest-tools.com. [2014-04-11]. (原始内容于2014-04-13). 
  151. ^ Stafford, Jared. heartbleed-poc.py. Red Hat, Inc. 2014-04-14. (原始内容于2014-04-12). 
  152. ^ Qualys's SSL Labs' SSL Server Test. [2014-10-07]. (原始内容于2014-10-07). 
  153. ^ Chromebleed. [2014-10-07]. (原始内容于2014-10-18). 
  154. ^ . [2014-10-07]. (原始内容存档于2014-10-12). 
  155. ^ SSL Diagnos. SourceForge. [2014-10-07]. (原始内容于2014-10-12). 
  156. ^ CrowdStrike Heartbleed Scanner. [2014-10-07]. (原始内容于2014-10-11). 
  157. ^ Lynn, Samara. Routers, SMB Networking Equipment - Is Your Networking Device Affected by Heartbleed?. PCMag.com. [2014-04-24]. (原始内容于2014-04-24). 
  158. ^ Netcraft Site Report. [2014-10-07]. (原始内容于2014-08-17). 
  159. ^ . [2014-10-07]. (原始内容存档于2014-10-11). 
  160. ^ Mutton, Paul. Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera. Netcraft英语Netcraft. 2014-06-24. (原始内容于2014-07-11). 
  161. ^ Mann, Jeffrey. Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service. Tenable Network Security英语Tenable Network Security. 2014-04-09. (原始内容于2014-04-13). 
  162. ^ Nmap 6.45 Informal Release. 2014-04-12. (原始内容于2014-04-17). 
  163. ^ VRT: Heartbleed Memory Disclosure – Upgrade OpenSSL Now!. 2014-04-08. (原始内容于2014-04-11). 
  164. ^ Blogs | How to Detect a Prior Heartbleed Exploit. Riverbed. 2014-04-09. (原始内容于2014-04-19). 
  165. ^ Patched Servers Remain Vulnerable to Heartbleed OpenSSL | Hayden James. Haydenjames.io. [2014-04-10]. (原始内容于2014-04-13). 
  166. ^ Security Certificate Revocation Awareness – Specific Implementations. Gibson Research Corporation. [2014-06-07]. (原始内容于2014-05-12). 
  167. ^ Sean Michael Kerner. Heartbleed SSL Flaw's True Cost Will Take Time to Tally. eWEEK英语eWeek. 2014-04-19 [2015-01-10]. (原始内容于2021-01-18). 
  168. ^ 168.0 168.1 168.2 168.3 A. Wheeler, David. How to Prevent the next Heartbleed. 2014-04-29. (原始内容于2014-12-25). 
  169. ^ Merkel, Robert. How the Heartbleed bug reveals a flaw in online security. The Conversation. 2014-04-11. (原始内容于2014-04-17). 
  170. ^ Embedded System Security with Rust: Case Study of Heartbleed. blog.getreu.net. [2019-03-19]. (原始内容于2019-09-04). 
  171. ^ MesaLink is a memory-safe and OpenSSL-compatible TLS library.: mesalock-linux/mesalink, MesaLock Linux, 2019-03-18 [2019-03-19], (原始内容于2021-01-03) 
  172. ^ . Gmane. [2014-04-11]. (原始内容存档于2014-04-11). 
  173. ^ Theo De Raadt's Small Rant On OpenSSL. Slashdot. Dice. 2014-04-10. (原始内容于2014-04-24). 
  174. ^ OpenBSD has started a massive strip-down and cleanup of OpenSSL. OpenBSD journal. 2014-04-15. (原始内容于2014-07-01). 
  175. ^ Lia Timson. Who is Robin Seggelmann and did his Heartbleed break the internet?. The Sydney Morning Herald. 2014-04-11. (原始内容于2014-04-11). 
  176. ^ Williams, Chris. OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts. The Register. 2014-04-11. (原始内容于2016-09-19). 
  177. ^ Smith, Gerry. How The Internet's Worst Nightmare Could Have Been Avoided. The Huffington Post. 2014-04-10. (原始内容于2014-04-27). The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit, according to Laurie, who works on the security team at Google.(据谷歌安全团队的劳里说,这星期发现的漏洞隐藏在10行代码中,本可以通过审查发现。) 
  178. ^ John Walsh. . ssh communications security. 2014-04-30 [2016-09-11]. (原始内容存档于2016-12-02). 
  179. ^ Walsh, John. Free Can Make You Bleed. SSH Communications Security. 2014-04-30. (原始内容于2014-05-05). 
  180. ^ Seltzer, Larry. OpenBSD forks, prunes, fixes OpenSSL. Zero Day. ZDNet. 2014-04-21 [2014-04-21]. (原始内容于2014-04-21). 
  181. ^ Pagliery, Jose. Your Internet security relies on a few volunteers. CNNMoney. Cable News Network. 2014-04-18. (原始内容于2014-04-23). 
  182. ^ 182.0 182.1 182.2 Perlroth, Nicole. Heartbleed Highlights a Contradiction in the Web. The New York Times (The New York Times Company). 2014-04-18. (原始内容于2014-05-08). 
  183. ^ Kaminsky, Dan. Be Still My Breaking Heart. Dan Kaminsky's Blog. 2014-04-10. (原始内容于2014-04-14). 
  184. ^ Chiusano, Paul. The failed economics of our software commons, and what you can about it right now. Paul Chiusano's blog. 2014-12-08. (原始内容于2014-12-09). 
  185. ^ 185.0 185.1 Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects. The Linux Foundation. 2014-04-24. (原始内容于2014-04-25). 
  186. ^ Paul, Ian. In Heartbleed's wake, tech titans launch fund for crucial open-source projects. PCWorld. 2014-04-24. (原始内容于2014-04-25). 
  187. ^ Google Project Zero aims to keep the Heartbleed Bug from happening again. TechRadar. [2017-04-09]. (原始内容于2017-04-10) (英语). 

延伸阅读 编辑

  • Durumeric, Zakir; et al. The Matter of Heartbleed. Proceedings of the 2014 Conference on Internet Measurement Conference. 2014: 475–488. doi:10.1145/2663716.2663755. 

外部链接 编辑

维基共享资源中相关的多媒体资源:心脏出血漏洞

十月 05, 2023
心脏出血漏洞, 英語, heartbleed, 简称为心血漏洞, 是一个出现在加密程序库openssl的安全漏洞, 该程序库广泛用于实现互联网的传输层安全, 协议, 它于2012年被引入了openssl中, 2014年4月首次向公众披露, 只要使用的是存在缺陷的openssl实例, 无论是服务器还是客户端, 都可能因此而受到攻击, 此问题的原因是在实现tls的心跳扩展时没有对输入进行适当验证, 缺少边界检查, 因此漏洞的名称来源于, 心跳, heartbeat, 该程序错误属于缓冲区过读, 即可以读取的数据比应该允. 心脏出血漏洞 英語 Heartbleed bug 简称为心血漏洞 是一个出现在加密程序库OpenSSL的安全漏洞 该程序库广泛用于实现互联网的传输层安全 TLS 协议 它于2012年被引入了OpenSSL中 2014年4月首次向公众披露 只要使用的是存在缺陷的OpenSSL实例 无论是服务器还是客户端 都可能因此而受到攻击 此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证 缺少边界检查 3 因此漏洞的名称来源于 心跳 heartbeat 4 该程序错误属于缓冲区过读 5 即可以读取的数据比应该允许读取的还多 6 心脏出血漏洞心脏出血漏洞的标志 安全公司Codenomicon为其制定了名称 设计了标志 加深了公众对此问题的印象 1 2 CVE标识符CVE 2014 0160发布日期2012年2月1日 11年前 2012 02 01 发现日期2014年4月1日 9年前 2014 04 01 补丁发布日期2014年4月7日 9年前 2014 04 07 发现者尼尔 梅塔受影响软件OpenSSL 1 0 1 网站heartbleed wbr com心脏出血在通用漏洞披露 CVE 系统中的编号为CVE 2014 0160 5 加拿大网络事故响应中心 英语 Canadian Cyber Incident Response Centre 发布安全公告 提醒系统管理员注意漏洞 7 2014年4月7日 即漏洞公开披露的同一天 OpenSSL发布了修复后的版本 截至2014年5月20日 2014 05 20 update 在80万最热门的启用TLS的网站中 仍有1 5 易受心脏出血漏洞的攻击 8 因为缺陷在于OpenSSL的实现 而不是SSL TLS协议本身 所以除了OpenSSL之外的其他TLS实现方式 如GnuTLS Mozilla的网络安全服务 NSS 和Windows平台的TLS实现都不受影响 9 目录 1 历史 1 1 发现 1 2 错误修正及部署 1 3 证书的更新及撤销 1 4 利用 1 4 1 事先可能的了解及利用 2 表现 2 1 受影响的OpenSSL实例 2 1 1 存在缺陷的程序和函数 2 2 补丁 3 影响 3 1 客户端漏洞 3 2 具体受影响的系统 3 2 1 网站及其它在线服务 3 2 2 应用软件 3 2 3 操作系统 固件 3 3 漏洞检测服务 4 补救 4 1 浏览器安全证书吊销感知 5 根本原因 可能的教训及回应 6 参考 7 延伸阅读 8 外部链接历史 编辑2012年2月 传输层安全 TLS 和数据报传输层安全 DTLS 协议的心跳扩展成为了标准 是为RFC 6520 10 它提供了一种无需每次都重新协商连接 就能测试和保持安全通信链路的方式 2011年 RFC的作者之一 当时杜伊斯堡 埃森大学的博士生罗宾 赛格尔曼 Robin Seggelmann 为OpenSSL实现了心跳扩展 赛格尔曼向OpenSSL发出的推送请求之后 11 12 13 他的更改由OpenSSL四位核心开发者之一的斯蒂芬 N 汉森 Stephen N Henson 审核 汉森未能注意到赛格尔曼实现中的错误 于2011年12月31日将有缺陷的代码加入了OpenSSL的源代码库 2012年3月14日 OpenSSL 1 0 1版发布 漏洞开始传播 心跳支持默认是启用的 这使受影响的版本易受攻击 14 15 16 发现 编辑 根据OpenSSL的马克 J 考克斯 Mark J Cox 的说法 谷歌安全团队的尼尔 梅塔 Neel Mehta 于2014年4月1日11 09 UTC报告了心脏出血漏洞 17 该漏洞由芬兰网络安全公司Codenomicon的工程师命名 该公司也设计了心脏出血标志 并设立了网站heartbleed wbr com 向公众解释该错误 18 虽然谷歌的安全团队首先向OpenSSL发送了报告 但谷歌和Codenomicon几乎在同一时间分别独立地发现了这个漏洞 19 14 20 Codenomicon称它于2014年4月3日发现并通知了NCSC FI以进行漏洞协调 14 21 据信在漏洞披露时 约有17 大约五十万 通过认证机构认证的互联网安全网络服务器容易受到攻击 导致服务器私钥和用户会话cookie及密码被盗 22 23 24 25 26 电子前哨基金会 27 Ars Technica 28 和布鲁斯 施奈尔 29 均认为心脏出血漏洞是 灾难性的 福布斯网络安全专栏作家约瑟夫 斯坦伯格 英语 Joseph Steinberg 写道 有些人认为 至少就其潜在影响而言 心脏出血 是自互联网商用以来所发现的最严重的漏洞 30 英国内阁发言人建议 人们应该按照网站建议更改他们所访问网站的密码 大多数网站已经修复了漏洞 人们听从网站建议 从而决定是否采取行动以及采取什么行动 再合适不过了 31 漏洞披露当日 Tor项目在其博客发布公告 建议如果您在互联网上需要高度的匿名或隐私 在接下来的几天里应该完全远离互联网 直到问题解决 32 雪梨晨鋒報于2014年4月15日刊登了事件的时间轴 其中可见一些组织在其公开披露之前就已经修补了漏洞 其中有些组织不清楚他们是如何得知这一消息的 33 错误修正及部署 编辑 博德 默勒 Bodo Moeller 和谷歌的亚当 兰利 Adam Langley 完成了心脏出血漏洞的修补程序 由此产生的补丁于2014年3月21日加入到了Red Hat的问题跟踪系统中 34 4月7日 斯蒂芬 N 汉森在OpenSSL版本控制系统中应用了修补程序 35 第一个修复后的版本1 0 1g于同一天发布 截至2014年6月21日 2014 06 21 update 309 197台公共网络服务器仍存在漏洞 36 证书的更新及撤销 编辑 根据Netcraft 英语 Netcraft 的说法 截至2014年4月11日 2014 04 11 update 在超过50万张可能已因心脏出血漏洞而失密的X 509证书中 约3万张已经补发 撤销的并不多 37 截至2014年5月9日 2014 05 09 update 仅有43 的受影响网站重发了自己的安全证书 此外 在重发的安全证书中 有7 使用了可能已泄露的密钥 Netcraft称 若重复使用密钥 较之尚未更换SSL证书的网站 这些曾受心脏出血漏洞影响的网站面临的风险仍与之前一模一样 38 每周电脑报对此评论 心脏出血漏洞是 可能持续数月 甚至是数年的危险 39 利用 编辑 加拿大税务局 CRA 称 900纳税人的社會保險號碼 英语 Social insurance number 遭窃 并表示在2014年4月8日的6个小时内 有人利用了该漏洞得到了这些数据 40 在发现攻击后 该机构关闭了网站 并将纳税人的申报期限从4月30日延长至了5月5日 41 该机构表示 将向任何受影响的人提供信誉保障服务 不收取任何费用 4月16日 皇家加拿大騎警宣布 他们已掌握了一名与该盗窃有关的工程学学生信息 并指控其 未经授权使用计算机 及 有关数据的恶作剧 42 43 英国育儿网站Mumsnet 英语 Mumsnet 发现部分用户帐户被劫持 CEO被假冒 44 该网站后发表事件声明 称其是由心脏出血漏洞所导致 且技术人员已将其及时修复 45 反恶意软件研究人员还利用了该漏洞 访问了网络罪犯的秘密论坛 46 研究人员还特意设立了存在漏洞的机器以进行研究 例如 在2014年4月12日 至少有两位独立研究人员成功窃取了CloudFlare为此而设立的实验服务器的私钥 47 48 此外 在2014年4月15日 密歇根大学教授J 亚历克斯 黑尔德曼 英语 J Alex Halderman 称 他的蜜罐服务器 旨在吸引并研究攻击的刻意留有漏洞的服务器 遭到了无数来自中国的攻击 黑尔德曼得出结论 因为这个服务器相当不起眼 这些很可能是大范围影响互联网的横扫攻击 49 2014年8月报道称 黑客利用心脏出血漏洞 窃取了美国第二大营利性连锁医院机构社群衛生系統 英语 Community Health Systems 的安全密钥 导致450万份病人病历泄密 入侵发生在该漏洞首次公布后一星期 50 事先可能的了解及利用 编辑 在公布后数日 许多大型网站修补了漏洞 或禁用了心跳扩展 51 但不清楚是否潜在攻击者早就意识到了这一点 及利用程度几何 研究人员在检查审核日志后认为 至少在发现和公布的5个月前 一些攻击者可能已经利用了这个漏洞 52 53 不过Errata Security指出 于漏洞公开的六个月前发布并广泛使用的非恶意程序 Masscan 会像漏洞所表现的那样 于握手时突然终止连接 从而生成相同的服务器日志消息 该公司还表示 两样会产生相同错误消息的新东西看起来可能是有关连的 但当然 其实他们并不相关 54 据彭博新闻社 二位不愿透露姓名的内部人士称 美国国家安全局 NSA 在漏洞出现后不久就知道了它的存在 但却没有公布 而是将其作为零日漏洞予以保密 以便能为己所用 55 56 57 NSA否认了这一说法 58 美國國家情報和通信技術審議小組 英语 Director of National Intelligence Review Group on Intelligence and Communications Technologies 的理查德 A 克拉克 英语 Richard A Clarke 也予以否认 该小组负责审查美国的电子监控政策 2014年4月11日 克拉克向路透社表示 NSA之前并不知道该漏洞 59 有关指控促使美国政府首次就其零日漏洞政策发表公开声明 接受审查小组2013年的报告中所提的建议 在几乎所有的情况 消除广泛使用的软件代码中的漏洞比起利用它们进行情报搜集更符合美国的国家利益 并称保密漏洞的权力将由NSA转移到白宫 60 表现 编辑 nbsp 漏洞的解释RFC 6520心跳扩展定义了一种测试TLS DTLS安全通信链路的方法 允许连接一端的计算机发送 心跳请求 消息 消息包含有效载荷 通常是文本字符串 附带有效载荷的长度 用16位整数表示 随后 接收方计算机必须发送完全相同的有效载荷以返回给发送方 受影响的OpenSSL版本根据请求消息中的长度字段分配内存缓冲区 用于存储要返回的消息 而不考虑消息中有效载荷的实际长度 因为缺少边界检查 返回的消息不仅包括有效载荷 还可能含有其他恰巧在已分配缓冲区中的消息 因此 通过构造出载荷短 长度字段中的数值却很大的请求 向存在缺陷的一方 通常是服务器 发送畸形心跳包 利用心脏出血漏洞 引起受害者的回应 这样 攻击者便可读取到受害者内存中至多64千字节的信息 而这块区域先前OpenSSL有可能已经使用过 61 例如 正常的心跳请求可能会要求一方 返回4个字符的单词 bird 那一方就返回 bird 心脏出血请求 恶意的心跳请求 如 返回500个字符的单词 bird 会导致受害者返回 bird 紧接着是恰储存在受害者活跃内存中的496个字符 这样 攻击者便可能会收到敏感数据 从而危及受害者其它安全通信的保密性 虽然攻击者能对返回的内存块大小有所控制 但却无法决定它的位置 因而不能指定要显示内容 受影响的OpenSSL实例 编辑 受影响的OpenSSL版本为1 0 1至1 0 1f 含 较新版本 1 0 1g 62 以上 及先前版本 1 0 0分支以前 不受影响 63 受影响的版本实例均存在缺陷 除非在OpenSSL编译时加上 DOPENSSL NO HEARTBEATS 64 65 存在缺陷的程序和函数 编辑 存在缺陷的程序的源文件为t1 lib c及d1 both c 而存在缺陷的函数为tls1 process heartbeat 及dtls1 process heartbeat 66 67 补丁 编辑 可通过忽略要求了比负载更多的数据的心跳请求消息来修复此问题 OpenSSL版本1 0 1g增加了一些边界检查 以防止过度读取缓冲区 例如 已添加了下列测试 以丢弃将引发心脏出血漏洞的心跳请求 以防产生回复 if 1 2 payload 16 gt s gt s3 gt rrec length return 0 silently discard per RFC 6520 sec 4 版本控制系统有完整的更改列表 35 影响 编辑经由心脏出血漏洞发动攻击 获得的数据可能包括TLS双方将要交换 但尚未加密的机密内容 包括在用户请求中各种格式的post 英语 POST HTTP 数据 此外 泄漏的数据还可能含有身份验证密令 如会话cookie及密码 可使攻击者向该服务冒充此用户 68 攻击还可能泄漏受攻击双方的私钥 14 16 69 这将使攻击者能解密通信内容 将来或是之前通过被动窃听捕获而存储的通信 除非使用完全正向保密 而在这种情况下 只能解密将来通过中间人攻击截获的通信 即使漏洞修复之后 获得受害者认证资料的攻击者仍能伪装成资料的拥有者 只要该资料能被接受 例如 在更改密码或撤销私钥之前 因此 漏洞对保密性构成了致命威胁 然而 冒充受害人的攻击者也能修改数据 所以间接的后果可能不只是系统机密泄漏那么简单 70 一项于2014年4月对美国成人进行的调查显示 60 的人听说过心脏出血漏洞 使用互联网的受访者中有39 的人采取了行动以保护他们的在线账户 如更改密码或注销账户 29 的人认为他们的个人信息因漏洞而处于危险之中 6 的人认为他们的个人信息已遭窃取 71 客户端漏洞 编辑 虽然该漏洞更多因其对服务器的威胁而受关注 72 使用受影响OpenSSL实例的TLS客户端也易受攻击 恶意服务器能利用该漏洞从易受攻击的客户端的内存中读取数据 这就是卫报所称的 逆向心脏出血漏洞 73 安全研究员史蒂夫 吉布森 Steve Gibson 在谈及该漏洞时称 它不只是服务器端的漏洞 它也是客户端的漏洞 因为服务器 或你连接的任何人 都能向你请求心跳包 正如你能向他们请求一样 74 失窃数据可能包含用户名和密码 75 逆向心脏出血漏洞影响了数以百万计的应用实例 73 部分易受攻击的应用程序列于下面的 应用软件 一节中 具体受影响的系统 编辑 思科系统已确认其下78种产品存在缺陷 包括IP电话系统和网真 视频会议 系统 76 网站及其它在线服务 编辑 nbsp 泄露的IFTTT用户信息2014年4月8日 GitHub上有一项对访问量最大的网站的分析 发现受影响的网站包括雅虎 Imgur Stack Overflow Slate及DuckDuckGo 77 78 下列网站已发布公告 因受漏洞影响 建议用户更改密码 Akamai 79 亞馬遜網路服務系統 80 Ars Technica 81 Bitbucket 82 BrandVerity 83 Freenode 84 GitHub 85 IFTTT 86 互联网档案馆 87 我的世界 88 Mumsnet 英语 Mumsnet 44 PeerJ 英语 PeerJ 89 Pinterest 90 Prezi 91 Reddit 92 嚇人玩意 93 SoundCloud 94 SourceForge 95 SparkFun 英语 SparkFun Electronics 96 Stripe 97 Tumblr 98 99 维基媒体基金会下属所有wiki 包括全语言维基百科 100 101 Wunderlist 102 加拿大联邦政府出于漏洞的安全考虑 暂时关闭了加拿大税务局 CRA 及多个政府部门的在线服务 103 104 平台维护者 如维基媒体基金会 建议他们的用户更改密码 100 LastPass的服务器存在缺陷 105 但因额外的加密及正向安全 潜在的攻击者无法利用此漏洞 不过LastPass仍建议用户修改所有受影响网站账户的密码 106 Tor项目建议中继和隐蔽服务的运行者在修补OpenSSL后 应撤销并生成新密钥 但同时指出 两套Tor中继密钥及多跳设计最大限度地减少了单一中继遭窃取所造成的影响 32 作为预防措施 随后发现存在漏洞的586个中继被强制下线 107 108 109 110 包括Steam 我的世界 戰遊網 英雄联盟 GOG com Origin 索尼線上娛樂 Humble Bundle及流亡黯道在内的游戏受到影响 随后得到修复 111 应用软件 编辑 存在缺陷的应用软件包括 若干惠普服务器应用程序 如Linux和Windows上的HP系统管理主页 SMH 112 FileMaker 13的某些版本 113 LibreOffice 4 2 0至4 2 2 4 2 3已修复 114 115 LogMeIn 英语 LogMeIn 声称已 更新许多我们依赖OpenSSL的产品和服务组件 116 若干McAfee产品 即为Microsoft Exchange 软件防火墙 及McAfee电子邮件和网页网关提供病毒防护的软件的某些版本 117 MySQL Workbench 6 1 4及更早 118 Oracle MySQL Connector C 6 1 0 6 1 3和Connector ODBC 5 1 13 5 2 5 5 2 6 5 3 2 118 甲骨文大数据机 英语 Oracle Big Data Appliance 包括Oracle Linux 6 118 Primavera 英语 Primavera software P6专业项目管理 包括Primavera P6企业项目组合管理 118 WinSCP Windows FTP客户端 5 5 2及一些早期版本 仅当通过TLS SSL使用FTP时 于5 5 3版本修复 119 若干VMware产品 包括VMware ESXi 5 5 VMware Player 6 0 VMware Workstation 10及Horizon系列产品 仿真器和云计算套件 120 其他几个甲骨文公司的应用程序受到影响 118 操作系统 固件 编辑 若干GNU Linux发行版都受到了影响 包括Debian 121 及其衍生版 如Linux Mint和Ubuntu 122 和Red Hat Enterprise Linux 123 及其衍生版 如CentOS 124 Oracle Linux 6 118 和Amazon Linux 英语 Amazon Linux 125 还有下列操作系统及固件 Android 4 1 1 在各种便携式设备中使用 126 克里斯 史密斯 Chris Smith 在Boy Genius Report写道 仅这一版本受影响 但它却是Android很受欢迎的一版 Chitika 英语 Chitika 声称50万台设备运行着4 1 1 127 谷歌则称不到总激活设备的10 其它Android版本不存在缺陷 因其或禁用了心跳 或使用的是不受影响的OpenSSL版本 128 129 某些AirPort基站的固件 130 某些思科系统路由的固件 76 131 132 某些Juniper Networks路由的固件 132 133 IPCop 英语 IPCop 2 1 3及某些早期版本 于2 1 4修复 134 pfSense 2 1 0及2 1 1 于2 1 2修复 135 威騰電子My Cloud产品系列的固件 136 漏洞检测服务 编辑 一些网站推出了测试 检测给定的网站上是否存在心脏出血漏洞 然而 据称许多这种测试都不是很有效 137 可用的工具包括 Tripwire SecureScan 138 AppCheck 静态二进制文件扫描 来自Codenomicon 139 Arbor Network的Pravail Security Analytics 140 Norton Safeweb心脏出血测试工具 141 欧洲IT安全公司的心脏出血测试工具 142 心脏出血扫描器 来自意大利信息安全专家菲利普 瓦尔索达 Filippo Valsorda 143 Cyberoam 英语 Cyberoam 的心脏出血测试 144 Critical Watch免费在线心脏出血测试器 145 Metasploit心脏出血扫描模块 146 Rehmann的心脏出血服务器扫描 147 Lookout手机安全公司 英语 Lookout Mobile Security 心脏出血探测器 一个用于安卓设备的应用程序 可确定设备使用的OpenSSL版本 并指出是否启用了有缺陷的心跳特性 148 LastPass的心脏出血检查器 149 Pentest Tools com的在线心脏出血漏洞网络范围扫描器 150 以Python语言写成的红帽公司官方离线扫描器 151 Qualys 英语 Qualys SSL实验室的SSL服务器测试 152 不仅能查找心脏出血漏洞 还能找到其他SSL TLS实现中的错误 浏览器扩展 如Chromebleed 153 和FoxBleed 154 SSL Diagnos 155 CrowdStrike心脏出血扫描器 156 扫描路由器 打印机及其他连接到网络的设备 包括Intranet网站 157 Netcraft 英语 Netcraft 网站报告 158 基于Netcraft的SSL调查数据 确定网站在漏洞公开之前是否提供了TLS心跳扩展 以此指出网站的保密性是否受到危害 Netcraft的Chrome Firefox和Opera 159 也能进行同样的检查 同时寻找可能已失密的证书 160 其他安全工具添加了相应功能 以查找此漏洞 例如 Tenable Network Security 英语 Tenable Network Security 为其Nessus漏洞扫描器写了插件 以扫描出此问题 161 Nmap安全扫描器自6 45版本起包含了心脏出血检测脚本 162 Sourcefire 英语 Sourcefire 已经发布了Snort规则 以检测心脏出血攻击流量和可能的心脏出血响应流量 163 开源数据包分析软件 如Wireshark及tcpdump 使用特定的BPF数据包过滤器 将其作用于捕获并存储的数据包和实时流量上 可以识别出心脏出血包 164 补救 编辑通过将OpenSSL更新到已修补的版本 1 0 1g或更高版本 可以解决心脏出血漏洞 OpenSSL可以用作独立程序 动态共享对象或静态链接库 因此 更新可能需要重新启动加载了OpenSSL易受攻击版本的进程 及重新链接静态链接它的程序和库 实际上 这意味着更新静态链接OpenSSL的软件包 并重新启动正在运行的程序 以删除内存中旧的 易受攻击的OpenSSL代码副本 在漏洞修复后 服务器管理员必须解决保密数据可能泄漏的问题 因为心脏出血允许攻击者得到私钥 所以必须认为这些密钥已泄密 须重新生成密钥对 使用它们的证书也要重新签发 并且吊销旧证书 心脏出血也有可能会泄漏其他在内存中的保密数据 因此 其他认证材料 如密码 也应该重新生成 很难确定受影响的系统是否没有受到损害 或者某个特定信息是否已被泄露 165 浏览器安全证书吊销感知 编辑 由于漏洞威胁着私钥的安全 即使是在漏洞已修复 先前的证书已吊销后 如果受攻击网站的用户所使用的浏览器无法发现证书已吊销 漏洞仍会对他们有影响 安全证书吊销感知测试虽不测试系统是否存在心脏出血漏洞 但让用户测试他们的网页浏览器 在网站使用的证书已吊销的情况下 是否允许继续访问 166 因此 修复此漏洞 用户还需要更新浏览器 确保具有最新的证书吊销列表 或OCSP支持 及证书吊销功能 根本原因 可能的教训及回应 编辑漏洞造成的损失难以评估 不过据eWEEK 英语 eWeek 估计至少为5亿美元 167 戴维 A 惠勒 英语 David A Wheeler 在论文 如何防止下一个心脏出血漏洞 中分析了为什么没能更早发现漏洞 并且提出了几种可能能更快识别漏洞 以及减小其影响的方法 据惠勒所言 要防止心脏出血漏洞 最有效的方法是用一套非典型的测试套件彻底执行他所说的 负面测试 即测试无效的输入是否会导致程序失败 而非成功 惠勒强调 应有一套通用的测试套件以作为所有TLS实现的基础 168 据The Conversation上罗伯特 默克尔 Robert Merkel 的文章 心脏出血漏洞揭示了 风险分析上的巨大失败 默克尔认为 OpenSSL注重性能 而不是安全 在他看来这毫无意义 但他认为 与其指责OpenSSL还不如指责它的用户 他们选择使用OpenSSL却并未提供资金以进行更好的审查和测试 他解释道 有两方面因素决定了将来还有出现类似安全漏洞的风险 首先 程序库的源代码会影响写出有类似影响漏洞的可能 默克尔提到 使用C语言就是一个有利于此种漏洞出现的危险因素 这与惠勒的分析一致 其次 OpenSSL的贡献流程会影响能快速修复错误的机率 168 169 塔林理工大学的简思 格特鲁 Jens Getreu 在他的文章中提到 如果OpenSSL使用保证内存安全的Rust语言开发 那么心脏出血漏洞本来是可以避免的 170 百度则使用Rust语言实现了MesaLink TLS项目 MesaLink提供和OpenSSL兼容的API 从而可以在cURL等项目中替换OpenSSL 171 西奥 德 若特 OpenBSD和OpenSSH项目的创始人和领导者 就同一方面批评OpenSSL的开发人员编写自己的内存管理程序 如他所说的那样 这就绕过了OpenBSD C标准函数库对漏洞的防范 他说 OpenSSL是由一个不负责任的团队开发的 172 173 继心脏出血漏洞披露之后 OpenBSD项目的成员从OpenSSL复刻出了LibreSSL 174 修改程序而导致该漏洞的程序员罗宾 赛格尔曼 175 声称自己 忽略掉了对长度变量的验证 并否认提交有缺陷的实现是刻意为之 11 在漏洞公开后 赛格尔曼就另一方面提出了建议 指出OpenSSL没有经过足够多的人的审查 176 虽然他的工作经过了OpenSSL核心开发人员的审查 审查的目的却主要是验证功能的改进是否正确 这会使漏洞更容易放过 168 OpenSSL核心开发者本 劳里 英语 Ben Laurie 称 OpenSSL的安全审查本可以发现心脏出血漏洞 177 软件工程师约翰 沃尔什 John Walsh 评论道 想想看 OpenSSL仅有两名 全职 雇员 却要编写 维护 测试 审查50万行的关键业务代码 178 OpenSSL基金会主席史蒂夫 马奎斯 Steve Marquess 说 奇怪之处不在于几名超负荷工作的志愿者漏过了这个错误 真正神奇的是这种事之前都没有发生 179 戴维 A 惠勒认为通常情况下 审查是一种发现漏洞的很好方式 但他指出 OpenSSL使用了过于复杂的结构 使它更难为人类和机器所审查 他写道 在简化代码上应不断努力 否则若只是添加功能 软件的复杂度就会逐渐增加 随着时间的推移 代码应及时重构 使之简洁明了 而不只是不断地添加新功能 要达成的目标应该是让代码 显然正确 而不是使代码变得太复杂 以至于 我看不出有什么问题 168 LibreSSL进行了大规模的代码清理 仅在第一周内就移除了超过90000行C代码 180 据安全研究人员丹 卡明斯基 英语 Dan Kaminsky 说 心脏出血漏洞是该基金会经济问题的征兆 这需要解决 从发现这个在 关键 依赖包中一个简单功能的简单错误所花费的时间来看 卡明斯基担心如不采取任何措施 未来还会有无数这样的漏洞 在发现漏洞时 OpenSSL仅有少数志愿者负责维护 其中只有一人将其作为全职工作 181 每年OpenSSL项目收到的捐款大约为2000美元 182 Codenomicon的心脏出血漏洞网站呼吁为OpenSSL项目捐款 14 在了解到漏洞披露后的两三天内 捐款总额为841美元后 卡明斯基说 我们正在制造全球经济中最重要的技术 依靠的却是投入资金少得让人惊讶的基础设施 183 核心开发者本 劳里则认为项目资金 完全没有着落 182 尽管OpenSSL软件基金会没有错误赏金计划 英语 bug bounty program 但互联网错误赏金计划主动给发现心脏出血漏洞的尼尔 梅塔奖励了15000美元 以表彰她将其披露的负责任行为 182 保罗 基乌萨诺 Paul Chiusano 认为是软件经济学的失败导致了此漏洞 184 面对此次危机 行业集体反应 2014年4月24日Linux基金会宣布成立核心基础架构联盟 英语 Core Infrastructure Initiative 这是一个数百万美元的项目 能为处在全球信息基础架构中的关键要素提供资金 185 出资人包括亚马逊 戴尔 Facebook 富士通 谷歌 IBM 英特尔 微软 NetApp Rackspace VMware和Linux基金会 该联盟旨在让开发人员能全职在项目上工作 并且支付安全审计 硬件和软件基础设施 旅行及其他费用 186 OpenSSL是该联盟资金首位获得者的候选人 185 此漏洞后 谷歌成立了Project Zero寻找零日漏洞 来帮助保护网络和社会 187 参考 编辑 McKenzie Patrick What Heartbleed Can Teach The OSS Community About Marketing Kalzumeus 2014 04 09 2018 02 08 原始内容存档于2017 12 20 Biggs John Heartbleed The First Security Bug With A Cool Logo TechCrunch 2014 04 09 2018 02 08 原始内容存档于2018 02 11 英语 Security Advisory OpenSSL Heartbleed Vulnerability Cyberoam 2014 04 11 2018 02 08 原始内容存档于2018 02 08 Limer Eric How Heartbleed Works The Code Behind the Internet s Security Nightmare 2014 04 09 2014 11 24 原始内容存档于2014 11 11 5 0 5 1 CVE 2014 0160 Common Vulnerabilities and Exposures Mitre 2018 02 08 原始内容存档于2018 01 24 英语 CWE 126 Buffer Over read 3 0 Common Vulnerabilities and Exposures Mitre 2018 01 18 2018 02 08 原始内容存档于2018 02 08 英语 AL14 005 OpenSSL Heartbleed Vulnerability Cyber Security Bulletins Public Safety Canada 2014 04 11 2018 02 08 原始内容存档于2018 02 08 英语 Leyden John AVG on Heartbleed It s dangerous to go alone Take this an AVG tool The Register 2014 05 20 2018 02 08 原始内容存档于2018 01 23 英语 Pretorius Tracey Microsoft Services unaffected by OpenSSL Heartbleed vulnerability Microsoft 2014 04 10 2018 02 08 原始内容存档于2018 02 08 美国英语 Seggelmann Robin Tuexen Michael Williams Michael Transport Layer Security TLS and Datagram Transport Layer Security DTLS Heartbeat Extension IETF 2012 02 2018 02 08 doi 10 17487 RFC6520 RFC 6520 ISSN 2070 1721 11 0 11 1 Grubb Ben Man who introduced serious Heartbleed security flaw denies he inserted it deliberately The Sydney Morning Herald 2014 04 11 原始内容存档于2014 04 12 2658 PATCH Add TLS DTLS Heartbeats OpenSSL 2011 原始内容存档于2017 08 08 Meet the man who created the bug that almost broke the Internet Globe and Mail 2014 04 11 原始内容存档于2018 01 04 14 0 14 1 14 2 14 3 14 4 Heartbleed Bug 2014 04 08 2014 04 10 原始内容存档于2014 04 07 Goodin Dan Critical crypto bug in OpenSSL opens two thirds of the Web to eavesdropping Ars Technica 2014 04 08 原始内容存档于2017 12 30 16 0 16 1 Bar El Hagai OpenSSL Heartbleed bug what s at risk on the server and what is not 2014 04 09 原始内容存档于2014 04 13 Mark J Cox Heartbleed 2014 04 12 原始内容存档于2014 04 16 Dewey Caitlin Why is it called the Heartbleed Bug 2014 11 25 原始内容存档于2014 10 09 Lee Timothy B Who discovered the vulnerability Vox 2014 04 10 2017 12 04 原始内容存档于2017 12 05 英语 Lee Ariana How Codenomicon Found The Heartbleed Bug Now Plaguing The Internet ReadWrite ReadWrite 2014 04 13 2017 12 04 原始内容存档于2017 09 05 美国英语 Discovered independently by Google engineer Neel Mehta and the Finnish security firm Codenomicon Heartbleed has been called one of the most serious security problems to ever affect the modern web 由谷歌工程师尼尔 梅塔和芬兰安全公司Codenomicon独立发现 心脏出血被称为 影响现代网络的最严重的安全问题之一 Nain suomalaistutkijat loysivat vakavan vuodon internetin sydamesta transl Finnish researchers found a serious leakage of the heart of the Internet 2014 04 10 2014 04 13 原始内容存档于2014 11 04 Mutton Paul Half a million widely trusted websites vulnerable to Heartbleed bug Netcraft Ltd 2014 04 08 2014 11 24 原始内容存档于2014年11月19日 Perlroth Nicole Hardy Quentin Heartbleed Flaw Could Reach to Digital Devices Experts Say New York Times 2014 04 11 原始内容存档于2018 02 25 Chen Brian X Q and A on Heartbleed A Flaw Missed by the Masses New York Times 2014 04 09 原始内容存档于2014 04 12 Wood Molly Flaw Calls for Altering Passwords Experts Say New York Times 2014 04 10 原始内容存档于2017 10 19 Manjoo Farhad Users Stark Reminder As Web Grows It Grows Less Secure New York Times 2014 04 10 原始内容存档于2018 02 24 Zhu Yan Why the Web Needs Perfect Forward Secrecy More Than Ever Electronic Frontier Foundation 2014 04 08 原始内容存档于2017 12 20 Goodin Dan Critical crypto bug exposes Yahoo Mail other passwords Russian roulette style Ars Technica 2014 04 08 原始内容存档于2017 07 14 Schneier on Security Heartbleed Schneier on Security 2014 04 11 2014 04 10 原始内容存档于2017 12 23 Joseph Steinberg Massive Internet Security Vulnerability Here s What You Need To Do Forbes 2014 04 10 原始内容存档于2018 01 04 Kelion Leo BBC News US government warns of Heartbleed bug danger BBC 2014 04 11 原始内容存档于2017 12 19 32 0 32 1 OpenSSL bug CVE 2014 0160 Tor Project 2014 04 07 原始内容存档于2017 07 10 Grubb Ben Heartbleed disclosure timeline who knew what and when The Sydney Morning Herald 2014 04 14 2014 11 25 原始内容存档于2014 11 25 heartbeat fix 2014 04 14 原始内容存档于2018 11 19 35 0 35 1 complete list of changes Git openssl git commitdiff The OpenSSL Project 2014 04 07 2014 04 10 原始内容存档于2014 04 13 Graham Robert 300k servers vulnerable to Heartbleed two months later Errata Security 2014 06 21 2014 06 22 原始内容存档于2014 06 23 Heartbleed certificate revocation tsunami yet to arrive Netcraft 2014 04 11 2014 04 24 原始内容存档于2014 05 29 Paul Mutton Keys left unchanged in many Heartbleed replacement certificates Netcraft 2014 05 09 2016 09 11 原始内容存档于2016年8月27日 Sean Michael Kerner Heartbleed Still a Threat to Hundreds of Thousands of Servers eWEEK 英语 eWeek 2014 05 10 2014 12 31 原始内容存档于2014 05 11 Evans Pete Heartbleed bug 900 SINs stolen from Revenue Canada CBC News 2014 04 14 原始内容存档于2018 03 14 某些细节位于页面链接的视频中 Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug 2014 04 14 2014 11 04 原始内容存档于2014 11 04 Thibedeau Hannah Heartbleed bug accused charged by RCMP after SIN breach CBC News 2014 04 16 原始内容存档于2014 10 28 Heartbleed hack case sees first arrest in Canada BBC News 2014 04 16 原始内容存档于2018 01 17 44 0 44 1 Kelion Leo BBC News Heartbleed hacks hit Mumsnet and Canada s tax agency BBC News 2014 04 14 原始内容存档于2017 11 29 Mumsnet and Heartbleed as it happened Mumsnet 2015 02 27 原始内容存档于2017 12 29 Ward Mark Heartbleed used to uncover data from cyber criminals BBC News 2014 04 29 原始内容存档于2018 01 06 Lawler Richard Cloudflare Challenge proves worst case scenario for Heartbleed is actually possible Engadget 2014 04 11 原始内容存档于2017 12 29 The Heartbleed Challenge CloudFlare 2014 原始内容存档于2014 04 12 Robertson Jordan Hackers from China waste little time in exploiting Heartbleed The Sydney Morning Herald 2014 04 16 原始内容存档于2017 12 28 Sam Frizell Time Magazine Report Devastating Heartbleed Flaw Was Used in Hospital Hack 2014 10 07 原始内容存档于2014 10 07 Cipriani Jason Heartbleed bug Check which sites have been patched CNET 2014 04 09 原始内容存档于2017 12 29 Gallagher Sean Heartbleed vulnerability may have been exploited months before patch Ars Technica 2014 04 09 原始内容存档于2017 03 03 Eckersley Peter Wild at Heart Were Intelligence Agencies Using Heartbleed in November 2013 Eff org 2014 11 25 原始内容存档于2014 11 26 Graham Robert No we weren t scanning for hearbleed before April 7 Errata Security 2014 04 09 2014 04 11 原始内容存档于2017 10 16 Riley Michael NSA Said to Exploit Heartbleed Bug for Intelligence for Years Bloomberg L P 2014 04 12 原始内容存档于2014 04 11 Molina Brett Report NSA exploited Heartbleed for years USA Today 2014 04 11 原始内容存档于2014 04 11 Riley Michael NSA exploited Heartbleed bug for two years to gather intelligence sources say Financial Post 2014 04 11 原始内容存档于2014 04 11 Statement on Bloomberg News story that NSA knew about the Heartbleed bug flaw and regularly used it to gather critical intelligence National Security Agency 2014 04 11 2014 12 31 原始内容存档于2017 12 27 Mark Hosenball Will Dunham White House spy agencies deny NSA exploited Heartbleed bug Reuters 2014 04 11 原始内容存档于2014 04 15 Zetter Kim U S Gov Insists It Doesn t Stockpile Zero Day Exploits to Hack Enemies wired com 2014 11 25 原始内容存档于2014 11 29 Hunt Troy Everything you need to know about the Heartbleed SSL bug 2014 04 09 2014 04 11 原始内容存档于2014 04 11 git openssl org Git openssl git log git openssl org 2014 11 25 原始内容存档于2014 04 15 Spiceworks Community Discussions community spiceworks com 2014 04 11 原始内容存档于2014 04 15 The OpenSSL Project OpenSSL Security Advisory 07 Apr 2014 2014 04 07 2014 04 10 原始内容存档于2014 04 08 OpenSSL versions and vulnerability 9 April 2014 2014 04 09 原始内容存档于2014年7月5日 Cyberoam Users Need not Bleed over Heartbleed Exploit cyberoam com 2014 04 11 原始内容存档于2014 04 15 tls1 process heartbeat 9 April 2014 2014 04 10 原始内容存档于2014年8月26日 Why Heartbleed is dangerous Exploiting CVE 2014 0160 IPSec pl 2014 2014 04 10 原始内容存档于2014 04 08 John Graham Cumming Searching for The Prime Suspect How Heartbleed Leaked Private Keys CloudFlare 2014 04 28 2014 06 07 原始内容存档于2017 12 28 Judge Kevin Servers Vulnerable to Heartbleed 14 July 2014 2014 08 25 原始内容存档于2014年8月26日 Lee Rainie Maeve Duggan Heartbleed s Impact Pew Research Internet Project Pew Research Center 2 2014 04 30 原始内容存档于2017 12 28 Bradley Tony Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack PCWorld IDG Consumer amp SMB 2014 04 14 原始内容存档于2016 12 02 73 0 73 1 Charles Arthur Heartbleed makes 50m Android phones vulnerable data shows The Guardian Guardian News and Media Limited 2014 04 15 原始内容存档于2017 12 29 Security Now 451 Twit Tv 2014 04 19 原始内容存档于2014 04 19 Ramzan Zulfikar Reverse Heartbleed can attack PCs and mobile phones SC Magazine Haymarket Media Inc 2014 04 24 原始内容存档于2016 10 06 76 0 76 1 OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products Cisco Systems 2014 04 09 原始内容存档于2017 12 29 heartbleed masstest Overview GitHub 2014 04 19 原始内容存档于2014 06 01 Cipriani Jason Which sites have patched the Heartbleed bug CNET 2014 04 10 2014 04 10 原始内容存档于2014 04 11 Heartbleed FAQ Akamai Systems Patched Akamai Technologies 2014 04 08 原始内容存档于2014 04 08 AWS Services Updated to Address OpenSSL Vulnerability Amazon Web Services 2014 04 08 原始内容存档于2014 04 11 Dear readers please change your Ars account passwords ASAP Ars Technica 2014 04 08 原始内容存档于2017 06 16 All Heartbleed upgrades are now complete BitBucket Blog 2014 04 09 原始内容存档于2014 04 11 Keeping Your BrandVerity Account Safe from the Heartbleed Bug BrandVerity Blog 2014 04 09 原始内容存档于2014 04 11 Twitter freenodestaff we ve had to restart a bunch 2014 04 08 原始内容存档于2014 04 14 Security Heartbleed vulnerability GitHub 2014 04 08 原始内容存档于2014 04 10 IFTTT Says It Is No Longer Vulnerable To Heartbleed LifeHacker 英语 LifeHacker 2014 04 08 原始内容存档于2014 04 13 Heartbleed bug and the Archive Internet Archive Blogs Blog archive org 2014 04 09 2014 04 14 Twitter KrisJelbring If you logged in to any of Twitter com 2014 04 08 2014 04 14 原始内容存档于2014 04 14 The widespread OpenSSL Heartbleed bug is patched in PeerJ PeerJ 英语 PeerJ 2014 04 09 原始内容存档于2014 04 11 Was Pinterest impacted by the Heartbleed issue Help Center Pinterest 2014 04 20 原始内容存档于2014 04 21 Heartbleed Defeated 2014 04 13 原始内容存档于2014 06 05 Staff We recommend that you change your reddit password Reddit 2014 04 14 2014 04 14 原始内容存档于2014 04 15 IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI 2014 04 13 原始内容存档于2013 07 28 Codey Brendan Security Update We re going to sign out everyone today here s why SoundCloud 2014 04 09 原始内容存档于2014 04 12 SourceForge response to Heartbleed SourceForge 2014 04 10 原始内容存档于2014 04 11 Heartbleed SparkFun 英语 SparkFun Electronics 2014 04 09 原始内容存档于2014 04 13 Heartbleed Stripe 2014 04 09 2014 04 10 原始内容存档于2014 04 13 Tumblr Staff Urgent security update 2014 04 08 2014 04 09 原始内容存档于2014 04 09 Hern Alex Heartbleed don t rush to update passwords security experts warn The Guardian 2014 04 09 原始内容存档于2015 01 07 100 0 100 1 Grossmeier Greg Wikitech l Fwd Security precaution Resetting all user sessions today Wikimedia Foundation 2014 04 08 2014 04 09 原始内容存档于2014 06 18 Grossmeier Greg Wikimedia s response to the Heartbleed security vulnerability Wikimedia Foundation blog Wikimedia Foundation 2014 04 10 2014 04 10 原始内容存档于2014 04 13 Wunderlist amp the Heartbleed OpenSSL Vulnerability 2014 04 10 2014 04 10 原始内容存档于2014 04 13 Security concerns prompts tax agency to shut down website CTV News 2014 04 09 2014 04 09 原始内容存档于2021 01 18 Heartbleed Canadian tax services back online CBC News 2014 04 14 原始内容存档于2018 04 25 Fiegerman Seth The Heartbleed Effect Password Services Are Having a Moment Mashable 2014 04 14 原始内容存档于2017 10 16 LastPass and the Heartbleed Bug LastPass 2014 04 08 2014 04 28 原始内容存档于2017 12 30 tor relays Rejecting 380 vulnerable guard exit keys Lists torproject org 2014 04 19 原始内容存档于2014 04 19 Tor Weekly News April 16th 2014 The Tor Blog Blog torproject org 2014 04 19 原始内容存档于2014 04 19 Gallagher Sean Tor network s ranks of relay servers cut because of Heartbleed bug Ars Technica 2012 05 17 2014 04 19 原始内容存档于2014 04 20 Mimoso Michael Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug Threatpost The first stop for security news Threatpost 2014 04 19 原始内容存档于2014 04 19 Paul Younger PC game services affected by Heartbleed and actions you need to take IncGamers 2014 04 11 原始内容存档于2014 04 15 HP Servers Communication OpenSSL HeartBleed Vulnerability 2014 04 18 原始内容存档于2016 03 04 FileMaker products and the Heartbleed bug 2014 05 06 2015 01 01 原始内容存档于2016 10 12 italovignoli LibreOffice 4 2 3 is now available for download The Document Foundation 2014 04 10 2014 04 11 原始内容存档于2014 04 12 CVE 2014 0160 LibreOffice 2014 04 07 2014 05 02 原始内容存档于2014 05 03 LogMeIn and OpenSSL LogMeIn 英语 LogMeIn 2014 04 10 原始内容存档于2014 04 11 McAfee Security Bulletin OpenSSL Heartbleed vulnerability patched in McAfee products McAfee KnowledgeBase McAfee 2014 04 17 原始内容存档于2014 04 16 118 0 118 1 118 2 118 3 118 4 118 5 OpenSSL Security Bug Heartbleed CVE 2014 0160 2014 05 12 原始内容存档于2014 05 28 Recent Version History WinSCP 2014 04 14 2014 05 02 原始内容存档于2014 04 27 Response to OpenSSL security issue CVE 2014 0160 CVE 2014 0346 a k a Heartbleed VMware Inc 2014 04 17 原始内容存档于2014 04 16 DSA 2896 1 openssl security update The Debian Project 2014 04 07 原始内容存档于2014 04 11 Ubuntu Security Notice USN 2165 1 Canonical Ltd 2014 04 07 2014 04 17 原始内容存档于2014 04 13 Important openssl security update Red Hat Inc 2014 04 08 原始内容存档于2014 04 18 Karanbir Singh s posting to CentOS announce centos org 2014 04 08 原始内容存档于2014 04 14 Amazon Linux AMI Security Advisory ALAS 2014 320 Amazon Web Services Inc 2014 04 07 2014 04 17 原始内容存档于2014 06 06 Android 4 1 1 devices vulnerable to Heartbleed bug says Google NDTV Convergence 2014 04 14 原始内容存档于2014 04 20 Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug Fox News 2014 04 17 原始内容存档于2014 04 19 Heartbleed Android 4 1 1 Jelly Bean could be seriously affected BGR Media 2014 04 16 原始内容存档于2016 10 22 Blaich Andrew Heartbleed Bug Impacts Mobile Devices Bluebox 2014 04 08 原始内容存档于2014 05 06 Snell Jason Apple releases Heartbleed fix for AirPort Base Stations Macworld 2014 04 22 原始内容存档于2014 04 25 Kleinman Alexis The Heartbleed Bug Goes Even Deeper Than We Realized Here s What You Should Do The Huffington Post 2014 04 11 原始内容存档于2014 04 12 132 0 132 1 Yadron Danny Heartbleed Bug Found in Cisco Routers Juniper Gear Dow Jones amp Company Inc 2014 04 10 原始内容存档于2014 04 15 2014 04 Out of Cycle Security Bulletin Multiple products affected by OpenSSL Heartbleed issue CVE 2014 0160 Juniper Networks 2014 04 14 原始内容存档于2014 04 16 IPCop 2 1 4 is released IPCop 英语 IPCop 2014 04 08 2014 04 11 139697815506679 原始内容存档于2020 05 16 OpenSSL Heartbleed Information Disclosure ECDSA pfSense 2014 04 08 2014 05 02 原始内容存档于2014 05 02 Heartbleed Bug Issue Western Digital 2014 04 10 原始内容存档于2014 04 19 Brewster Tom Heartbleed 95 of detection tools flawed claim researchers The Guardian Guardian News and Media Limited 2014 04 16 原始内容存档于2014 10 21 Tripwire SecureScan Tripwire Take Control of IT Security and Regulatory Compliance with Tripwire Software 2014 10 07 原始内容存档于2014 04 16 AppCheck static binary scan from Codenomicon 2014 10 07 原始内容存档于2014 10 17 Arbor Network s Pravail Security Analytics Arbor Network 2014 10 07 原始内容存档于2014 04 11 Norton Safeweb Heartbleed Check Tool 2014 10 07 原始内容存档于2014 10 10 Heartbleed OpenSSL extension testing tool CVE 2014 0160 Possible lv 2014 04 11 原始内容存档于2014 04 11 Test your server for Heartbleed CVE 2014 0160 2014 11 25 原始内容存档于2014 11 25 Cyberoam Security Center 2014 11 25 原始内容存档于2014 04 15 Critical Watch Heartbleed Tester CVE 2014 0160 Heartbleed criticalwatch com 2014 04 14 原始内容存档于2014 04 14 metasploit framework openssl heartbleed rb at master 2014 11 25 原始内容存档于2015 06 28 OpenSSL Heartbeat Vulnerability Check Heartbleed Checker 2014 11 25 原始内容存档于2014 12 24 Heartbleed Detector Check If Your Android OS Is Vulnerable with Our App Lookout手机安全公司 英语 Lookout Mobile Security 博客 2014 04 09 2014 04 10 原始内容存档于2014 04 13 Heartbleed checker LastPass 2014 04 11 原始内容存档于2014 04 10 OpenSSL Heartbleed vulnerability scanner Online Penetration Testing Tools Ethical Hacking Tools Pentest tools com 2014 04 11 原始内容存档于2014 04 13 Stafford Jared heartbleed poc py Red Hat Inc 2014 04 14 原始内容存档于2014 04 12 Qualys s SSL Labs SSL Server Test 2014 10 07 原始内容存档于2014 10 07 Chromebleed 2014 10 07 原始内容存档于2014 10 18 FoxBleed 2014 10 07 原始内容存档于2014 10 12 SSL Diagnos SourceForge 2014 10 07 原始内容存档于2014 10 12 CrowdStrike Heartbleed Scanner 2014 10 07 原始内容存档于2014 10 11 Lynn Samara Routers SMB Networking Equipment Is Your Networking Device Affected by Heartbleed PCMag com 2014 04 24 原始内容存档于2014 04 24 Netcraft Site Report 2014 10 07 原始内容存档于2014 08 17 Netcraft Extensions 2014 10 07 原始内容存档于2014 10 11 Mutton Paul Netcraft Releases Heartbleed Indicator For Chrome Firefox and Opera Netcraft 英语 Netcraft 2014 06 24 原始内容存档于2014 07 11 Mann Jeffrey Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service Tenable Network Security 英语 Tenable Network Security 2014 04 09 原始内容存档于2014 04 13 Nmap 6 45 Informal Release 2014 04 12 原始内容存档于2014 04 17 VRT Heartbleed Memory Disclosure Upgrade OpenSSL Now 2014 04 08 原始内容存档于2014 04 11 Blogs How to Detect a Prior Heartbleed Exploit Riverbed 2014 04 09 原始内容存档于2014 04 19 Patched Servers Remain Vulnerable to Heartbleed OpenSSL Hayden James Haydenjames io 2014 04 10 原始内容存档于2014 04 13 Security Certificate Revocation Awareness Specific Implementations Gibson Research Corporation 2014 06 07 原始内容存档于2014 05 12 Sean Michael Kerner Heartbleed SSL Flaw s True Cost Will Take Time to Tally eWEEK 英语 eWeek 2014 04 19 2015 01 10 原始内容存档于2021 01 18 168 0 168 1 168 2 168 3 A Wheeler David How to Prevent the next Heartbleed 2014 04 29 原始内容存档于2014 12 25 Merkel Robert How the Heartbleed bug reveals a flaw in online security The Conversation 2014 04 11 原始内容存档于2014 04 17 Embedded System Security with Rust Case Study of Heartbleed blog getreu net 2019 03 19 原始内容存档于2019 09 04 MesaLink is a memory safe and OpenSSL compatible TLS library mesalock linux mesalink MesaLock Linux 2019 03 18 2019 03 19 原始内容存档于2021 01 03 Re FYA http heartbleed com Gmane 2014 04 11 原始内容存档于2014 04 11 Theo De Raadt s Small Rant On OpenSSL Slashdot Dice 2014 04 10 原始内容存档于2014 04 24 OpenBSD has started a massive strip down and cleanup of OpenSSL OpenBSD journal 2014 04 15 原始内容存档于2014 07 01 Lia Timson Who is Robin Seggelmann and did his Heartbleed break the internet The Sydney Morning Herald 2014 04 11 原始内容存档于2014 04 11 Williams Chris OpenSSL Heartbleed Bloody nose for open source bleeding hearts The Register 2014 04 11 原始内容存档于2016 09 19 Smith Gerry How The Internet s Worst Nightmare Could Have Been Avoided The Huffington Post 2014 04 10 原始内容存档于2014 04 27 The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit according to Laurie who works on the security team at Google 据谷歌安全团队的劳里说 这星期发现的漏洞隐藏在10行代码中 本可以通过审查发现 John Walsh Free Can Make You Bleed ssh communications security 2014 04 30 2016 09 11 原始内容存档于2016 12 02 Walsh John Free Can Make You Bleed SSH Communications Security 2014 04 30 原始内容存档于2014 05 05 Seltzer Larry OpenBSD forks prunes fixes OpenSSL Zero Day ZDNet 2014 04 21 2014 04 21 原始内容存档于2014 04 21 Pagliery Jose Your Internet security relies on a few volunteers CNNMoney Cable News Network 2014 04 18 原始内容存档于2014 04 23 182 0 182 1 182 2 Perlroth Nicole Heartbleed Highlights a Contradiction in the Web The New York Times The New York Times Company 2014 04 18 原始内容存档于2014 05 08 Kaminsky Dan Be Still My Breaking Heart Dan Kaminsky s Blog 2014 04 10 原始内容存档于2014 04 14 Chiusano Paul The failed economics of our software commons and what you can about it right now Paul Chiusano s blog 2014 12 08 原始内容存档于2014 12 09 185 0 185 1 Amazon Web Services Cisco Dell Facebook Fujitsu Google IBM Intel Microsoft NetApp Rackspace VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects The Linux Foundation 2014 04 24 原始内容存档于2014 04 25 Paul Ian In Heartbleed s wake tech titans launch fund for crucial open source projects PCWorld 2014 04 24 原始内容存档于2014 04 25 Google Project Zero aims to keep the Heartbleed Bug from happening again TechRadar 2017 04 09 原始内容存档于2017 04 10 英语 延伸阅读 编辑Durumeric Zakir et al The Matter of Heartbleed Proceedings of the 2014 Conference on Internet Measurement Conference 2014 475 488 doi 10 1145 2663716 2663755 外部链接 编辑维基共享资源中相关的多媒体资源 心脏出血漏洞漏洞摘要及常见问题 页面存档备份 存于互联网档案馆 由Codenomicon公司设立 提供给加拿大组织和个人的信息 取自 https zh wikipedia org w index php title 心脏出血漏洞 amp oldid 76492213, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。