跳至內容

維基百科:優良條目/心臟出血漏洞

維基百科,自由的百科全書

心臟出血漏洞,也簡稱為心血漏洞,是一個出現在加密OpenSSL程序錯誤,首次於2014年4月披露。該庫廣泛用於實現網際網路的安全套接層(TLS)協議。只要使用的是存在缺陷的OpenSSL實例,無論是伺服器還是客戶端,都可能因此而受到攻擊。此問題是因在實現TLS的心跳擴展時沒有對輸入進行適當驗證(缺少邊界檢查)而導致的,因而漏洞的名稱來源於「心跳」(heartbeat。漏洞被歸為緩衝過度讀取,即可以讀取的數據比應該被允許讀取的還多。心臟出血在通用漏洞披露(CVE)系統中的編號為CVE-2014-0160。加拿大網絡事故響應中心發布安全公告,提醒系統管理員注意漏洞。OpenSSL於2014年4月7日,即漏洞公開披露的同一天,發布了修復後的版本。在其披露時,約有17%(大約五十萬)通過認證機構認證的網際網路安全網絡伺服器被認為容易受到攻擊,導致伺服器私鑰和用戶會話cookie及密碼被盜。電子前哨基金會Ars Technica布魯斯·施奈爾均認為心臟出血漏洞是「災難性的」。福布斯網絡安全專欄作家約瑟夫·斯坦伯格寫道,「有些人認為,至少就其潛在影響而言,『心臟出血』是自網際網路允許商用以來所發現的最嚴重的漏洞。」