主题:美國/優良條目/43
外观
心脏出血漏洞,也简称为心血漏洞,是一个出现在加密库OpenSSL的程序错误,首次于2014年4月披露。该库广泛用于实现互联网的安全套接层(TLS)协议。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题是因在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查)而导致的,因而漏洞的名称来源于“心跳”(heartbeat。漏洞被归为缓冲过度读取,即可以读取的数据比应该被允许读取的还多。心脏出血在通用漏洞披露(CVE)系统中的编号为CVE-2014-0160。加拿大网络事故响应中心发布安全公告,提醒系统管理员注意漏洞。OpenSSL于2014年4月7日,即漏洞公开披露的同一天,发布了修复后的版本。在其披露时,约有17%(大约五十万)通过认证机构认证的互联网安全网络服务器被认为容易受到攻击,导致服务器私钥和用户会话cookie及密码被盗。电子前哨基金会、Ars Technica和布鲁斯·施奈尔均认为心脏出血漏洞是“灾难性的”。福布斯网络安全专栏作家约瑟夫·斯坦伯格写道,“有些人认为,至少就其潜在影响而言,‘心脏出血’是自互联网允许商用以来所发现的最严重的漏洞。”>> 阅读全文