Heartbleed 漏洞 SSL/TLS 心跳攻擊
Heartbleed 是2014年公開的 OpenSSL 加密庫安全漏洞(CVE-2014-0160),影響了全球數以百萬計的網站和服務。它利用了 TLS 心跳擴展的實現缺陷,屬於緩衝區過讀漏洞。
攻擊原理
TLS 心跳機制用於保持連接活躍。攻擊者發送特製的心跳請求,聲稱負載大於實際內容,伺服器會返回記憶體中的額外數據,可能包含:
- 伺服器私鑰
- 用戶密碼和 Session Token
- 加密通訊內容
- 其他用戶的數據
影響範圍
| 指標 | 數據 |
|---|---|
| 影響版本 | OpenSSL 1.0.1 至 1.0.1f |
| 引入時間 | 2012年 |
| 公開時間 | 2014年4月 |
| 漏洞存在時間 | 約2年未被發現 |
| 2017年仍有漏洞主機 | 約18萬台 |
教訓
- 及時更新加密庫和伺服器軟體
- 漏洞修復後應更換 SSL 證書和私鑰
- 強制用戶更改密碼
- 實施自動化漏洞掃描
Source: Wikipedia – Heartbleed