新足迹 › 论坛 › 兴趣爱好区 › IT与科技 › IT专业论坛 › 没有人讨论Heartbleed这个巨大的安全漏洞吗 ...

精华好帖回顾
· 河南卤面 (2010-5-15) 晴天娃娃	· 美利坚，难忘和你一起的那半年 (2017-9-4) echo0803
· 母亲节又到了, 录一首给俺娘.【烛光里的妈妈】BY 往事随风 (2008-5-10) 往事随风	· 日落拍到了........ (2010-6-23) jmms_smmj

查看: 2815|回复: 21

没有人讨论Heartbleed这个巨大的安全漏洞吗 [复制链接]

cloud226

铜靴族

发表于 2014-4-11 12:38 |显示全部楼层

此文章由 cloud226 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 cloud226 所有！转贴必须注明作者、出处和本声明，并保持内容完整

基本说来就是openSSL 这个用的最广的执行SSL/TLS的工具包浮现出一个潜伏2年多的巨大漏洞让黑客可以轻易接收到未加密的信息

整个bug居然是这短短的一句话
memcpy(bp, pl, payload);

http://gizmodo.com/how-heartblee ... rnets-se-1561341209

nzoz

木屐族

发表于 2014-4-11 15:26 |显示全部楼层

此文章由 nzoz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 nzoz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

该漏洞不仅是涉及到https开头的网址，还包含间接使用了OpenSSL代码的产品和服务，比如，VPN、邮件系统、FTP工具等产品和服务，甚至可能会涉及到其他一些安全设施的源代码。

http://www.freebuf.com/articles/web/31553.html

netstat

头像被屏蔽

禁止发言

发表于 2014-4-11 17:01 |显示全部楼层

此文章由 netstat 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 netstat 所有！转贴必须注明作者、出处和本声明，并保持内容完整

Memcpy will copy payload bytes of memory regardless of what the pointers bp or pl point to. The bug occurs because memcpy copies all of the source payload (pl) and everything after it in memory, up to 64k bytes, into the landing strip at bp. It then sends that data back to the requester. The only time memcpy would not copy all "payload" bytes is if it hit a memory location that it couldn't legally read, in which case a segfault signal would occur.

In your analogy, it would be more like you place your photo down on top of a stack of photos left behind from someone else and then told the owner you had 100 photos. He would dutifully put all 100 photos into a shiny new box and give it to you. It wouldn't matter if the box was empty or not since he will replace all 100 photos.

A segfault would be a case where you dropped your photo on a stack that covered the opening to a garbage disposal and told him you had 100 photos. Unfortunately for the owner there were only 80 photos in the original pile and when he goes to move the 82nd photo, he reaches into the disposal instead.

签名被屏蔽

Fernando

金靴族

发表于 2014-4-11 17:57 |显示全部楼层

此文章由 Fernando 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 Fernando 所有！转贴必须注明作者、出处和本声明，并保持内容完整

漏洞一出当即破解了很多电商网站

yolandalinz

皮靴族

发表于 2014-4-12 01:56 |显示全部楼层

此文章由 yolandalinz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 yolandalinz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

俺第一个在足迹贴的，那时候万能的足迹还没打补丁呢，结果由于危害太大，被转到站务讨论了～～

http://www.oursteps.com.au/bbs/f ... &extra=page%3D1

评分

参与人数 1	积分 +6	收起理由
IsDonIsGood	+ 6	你太有才了

查看全部评分

守望先锋Horcruxes#6153

linkspeed

头像被屏蔽

禁止发言

发表于 2014-4-12 11:08 |显示全部楼层

此文章由 linkspeed 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 linkspeed 所有！转贴必须注明作者、出处和本声明，并保持内容完整

微软这回高兴了

IsDonIsGood

银靴族

发表于 2014-4-12 11:45 |显示全部楼层

此文章由 IsDonIsGood 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 IsDonIsGood 所有！转贴必须注明作者、出处和本声明，并保持内容完整

yolandalinz 发表于 2014-4-12 00:56
俺第一个在足迹贴的，那时候万能的足迹还没打补丁呢，结果由于危害太大，被转到站务讨论了～～:indi ...

我也纳闷怎么没人提原来去站务了，top classified啊

评分

参与人数 1	积分 +4	收起理由
yolandalinz	+ 4	偷抓了几个密码

查看全部评分

2020目标: 活着

启航

皮靴族

发表于 2014-4-12 13:11 |显示全部楼层

此文章由启航原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者启航所有！转贴必须注明作者、出处和本声明，并保持内容完整

yeasiz

布鞋族

发表于 2014-4-12 20:08 |显示全部楼层

此文章由 yeasiz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 yeasiz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

原本想发帖的，但是等级不够=V=

弄了几个 Studiopress 的 Cookies 下主题

yeasiz

布鞋族

发表于 2014-4-12 20:20 |显示全部楼层

此文章由 yeasiz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 yeasiz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 yeasiz 于 2014-4-12 19:22 编辑

另外貌似目前也有可能影响到 SSH

http://www.ssh.com/blog/12-ssh-communications-security-comments-on-heartbleed-vulnerability

Heartbleed does not impact the safety of the Secure Shell protocol itself. However, web servers and other hosts typically run both OpenSSL and Secure Shell. This means that if an attacker is able to gain access to the system’s memory, it is possible to steal Secure Shell authentication credentials.

#heartbleed FreeBSD 10 leak private key

ylbeethoven

金靴族

发表于 2014-4-12 20:25 |显示全部楼层

此文章由 ylbeethoven 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 ylbeethoven 所有！转贴必须注明作者、出处和本声明，并保持内容完整

就因为这个，我们公司最近忙死了……

牵黄擎苍

银靴族

发表于 2014-4-12 22:48 |显示全部楼层

此文章由牵黄擎苍原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者牵黄擎苍所有！转贴必须注明作者、出处和本声明，并保持内容完整

影响很大，很多Unix Linux boxes都飘红了

GreenTreePython

布鞋族

发表于 2014-4-13 16:44 |显示全部楼层

此文章由 GreenTreePython 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 GreenTreePython 所有！转贴必须注明作者、出处和本声明，并保持内容完整

因为这个我们立马换certificate ,强制全部员工换密码

jackjiang

皮靴族

发表于 2014-4-13 18:18 |显示全部楼层

此文章由 jackjiang 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 jackjiang 所有！转贴必须注明作者、出处和本声明，并保持内容完整

周五刚刚得到通知，然后换了密码。

hnui

皮靴族

发表于 2014-4-14 10:32 |显示全部楼层

此文章由 hnui 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 hnui 所有！转贴必须注明作者、出处和本声明，并保持内容完整

findcaiyzh

银靴族

发表于 2014-4-14 10:41 |显示全部楼层

此文章由 findcaiyzh 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 findcaiyzh 所有！转贴必须注明作者、出处和本声明，并保持内容完整

IIS web server的飘过。

cloud226

铜靴族

发表于 2014-4-14 12:44 |显示全部楼层

此文章由 cloud226 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 cloud226 所有！转贴必须注明作者、出处和本声明，并保持内容完整

所以修复工作就是server 打一个SSL的补丁+用户更新密码吗？

yeasiz

布鞋族

发表于 2014-4-14 20:09 |显示全部楼层

此文章由 yeasiz 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 yeasiz 所有！转贴必须注明作者、出处和本声明，并保持内容完整

cloud226 发表于 2014-4-14 11:44
所以修复工作就是server 打一个SSL的补丁+用户更新密码吗？

重新 issue ssl certificate

dust2k

铜靴族

发表于 2014-4-15 13:42 |显示全部楼层

此文章由 dust2k 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dust2k 所有！转贴必须注明作者、出处和本声明，并保持内容完整

findcaiyzh 发表于 2014-4-14 09:41
IIS web server的飘过。

bug更多。。。

如果你看到前面有阴影，别怕，那是因为你背后有阳光，而我就是那一抹阳光.

dcc82

铜靴族

发表于 2014-4-15 23:03 |显示全部楼层

此文章由 dcc82 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 dcc82 所有！转贴必须注明作者、出处和本声明，并保持内容完整

本帖最后由 dcc82 于 2014-4-15 22:19 编辑

没什么好讨论的，只是openssl的小漏洞罢了，而且只存在之前的版本中，打补丁到OpenSSL 1.0.1g就没事了，1分钟解决的事情
完事后，上https://filippo.io/Heartbleed/查一下即可
用vps,dedicated server, cloud hosting等等也最好重启一下，shared hosting就不要折腾了自然会有人做的，不放心的话，memcache,redis等等cache清空一下, index重新索引一下，不过真的没什么必要。
如果你常上的网站是用ssl并且有heartbleed漏洞，要放心的话建议密码全部换掉，但是我懒的去换，网站如果本身有bug不知道比这个历害多少倍了，另外谁知道你的密码是不是明码存在数据库中的，这年头就算大网站做的业余的多的去了。我在等待账号被黑了后，再通过邮件重置密码，但是我等了很久还没有发生。
另外，和SSL Certificate没有任何关系，如果非要重新issue，也只能说，你们真的很空。