Flu*_*lup 65 security openssl heartbleed
OpenSSL 'heartbleed' 漏洞 ( CVE-2014-0160 ) 影响服务 HTTPS 的网络服务器。其他服务也使用 OpenSSL。这些服务是否也容易受到类似心脏出血的数据泄漏的影响?
我特别想
至少在我的系统上,所有这些都链接到 OpenSSL 库。
Rob*_*oir 40
任何使用 OpenSSL 实现TLS 的服务都可能存在漏洞;这是底层 cyrptography 库的一个弱点,而不是它是如何通过 web 服务器或电子邮件服务器包呈现的。您至少应该考虑所有链接的服务都容易受到数据泄露的影响。
我相信您知道,很可能将攻击连在一起。即使在最简单的攻击中,也完全有可能,例如,使用 Heartbleed 来破坏 SSL、读取网络邮件凭据、使用网络邮件凭据通过快速“亲爱的帮助台,你能给我一个 $foo 的新密码吗?爱CEO”。
The Heartbleed Bug 中有更多信息和链接,在 Server Fault 定期维护的另一个问题Heartbleed:它是什么以及缓解它的选项有哪些?.
小智 35
看来您的 ssh 密钥是安全的:
值得指出的是,OpenSSH 不受 OpenSSL 错误的影响。虽然 OpenSSH 确实将 openssl 用于某些密钥生成功能,但它不使用 TLS 协议(尤其是 Heartbleed 攻击的 TLS 心跳扩展)。因此无需担心 SSH 受到威胁,尽管将 openssl 更新为 1.0.1g 或 1.0.2-beta2 仍然是一个好主意(但您不必担心替换 SSH 密钥对)。– jimbob 博士 6 小时前
请参阅:https : //security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit
| 归档时间: |
|
| 查看次数: |
12683 次 |
| 最近记录: |