Читать далее
OpenSSL 的公告如下:seafoodplus.info
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only and beta releases of OpenSSL are affected including f and beta1.要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。
直接輸入 Domain 即可查詢,例如「seafoodplus.info」。
使用方法直接執行「python seafoodplus.info seafoodplus.info」,或是用「-p」指定特定 SSL 連接埠。畫面上會顯示出記憶體資料,可能內含機敏資料例如 private key、session cookie 等。
原始碼如下:
使用方法直接執行「perl seafoodplus.info seafoodplus.info」,可在網域名稱後指定特定 SSL 連接埠。
使用說明:
如果發現自己的伺服器有這樣的漏洞,該怎麼辦呢?
詳細討論與建議可以參考
Heartbleed: What is it and what are options to mitigate it? seafoodplus.info
真的會有攻擊者利用這樣的攻擊手法嗎?目前在烏雲 wooyun平台上已經滿滿的資安研究員開始回報網站含有 OpenSSL 漏洞。也有駭客在嘗試撰寫更有效的攻擊利用程式,想要藉此把平常打不下來的網站一舉攻陷。
怎樣的站台會是重點目標呢?含有會員機制的網站特別如此,例如 Web Mail、社群網站等等。因此不少企業要多注意了,例如全世界最大的社群網站 Facebook、SlideShare、台灣知名電信公司網站、社交平台、網路銀行、NAS,都會在這波的攻擊範圍之內。如果沒有儘速修復,等到更有效的攻擊程式出現,就真的等著失血了。
技術發布