阿里云云安全acp認(rèn)證知識(shí)點(diǎn)精講之安全漏洞預(yù)警

安全漏洞預(yù)警

OpenSSL“心臟滴血”漏洞

2014年04月07日，OpenSSL發(fā)布安全公告，在OpenSSL 1.0.1和OpenSSL 1.0.2 Beta1中存在嚴(yán)重漏洞。由于未能正確檢測(cè)用戶輸入?yún)?shù)的長度，攻擊者可以利用該漏洞，遠(yuǎn)程讀取存在漏洞版本的OpenSSL服務(wù)器內(nèi)存中64 KB的數(shù)據(jù)，獲取內(nèi)存中的用戶名、密碼、個(gè)人相關(guān)信息以及服務(wù)器的證書等私密信息。

漏洞詳情如下：

漏洞編號(hào)：CVE-2014-0160

漏洞名稱：OpenSSL“心臟滴血”漏洞

評(píng)級(jí)：高危

漏洞描述：OpenSSL軟件存在“心臟出血”漏洞，該漏洞使攻擊者能夠從內(nèi)存中讀取多達(dá)64 KB的數(shù)據(jù)，造成信息泄露。

漏洞利用方式：遠(yuǎn)程利用

漏洞危害：可被用來獲取敏感數(shù)據(jù)，包括會(huì)話Session、cookie、賬號(hào)密碼等。

修復(fù)方案：

1.升級(jí)ECS OpenSSL。

2.修復(fù)完畢后，重啟Web服務(wù)。Apache/Nginx/Httpd的重啟方式分別如下：

/etc/init.d/apache2 restart

/etc/init.d/ngnix restart

/etc/init.d/httpd restart

3.使用以下命令查看與OpenSSL庫相關(guān)的服務(wù)，并重啟這些服務(wù)。

lsof | grep libssl | awk ‘{print $1}’| sort | uniq

點(diǎn)擊下方圖片可購買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程，個(gè)性化服務(wù)，為你的升職加薪之路助力?。。?/span>