标签： OpenSSL

ArsTechnica 报道称，OpenSSL 是被许多网站和加密电子邮件服务提供商所广泛采纳的软件库，但不久前，其曝出了一个可能导致服务器被攻击崩溃的高危安全漏洞。据悉，OpenSSL 提供了久经考验的加密功能，且实现了基于 TLS 的安全传输协议。作为接替 SSL 安全套接层的后继协议，其用于在互联网服务器和最终用户客户端之间的数据流加密。 TLS 应用程序的开发者们，可借助 OpenSSL ...

以色列特拉维夫大学的研究人员利用旁路攻击（PDF），成功从Android和iOS设备上窃取到用于加密比特币钱包、Apple Pay账号和其他高价值资产的密钥。

OpenSSL 公开了多个中等或低危险性的安全漏洞 。其中一个漏洞允许中间人攻击者降低TLS安全连接使用的Diffie-Hellman密钥交换系统的加密强度，该漏洞被命名为Logjam。

2015年1月8日，安恒信息从OpenSSL开源项目官网获知其针对0.98zd、1.0.0p和1.0.1k版本的修复补丁发布了8个安全漏洞的修复方案。其中最严重的漏洞被OpenSSL项目组归类为中等安全威胁。

针对愈演愈烈的OpenSSL“心脏出血”安全漏洞，金山毒霸安全中心推出了覆盖网站、电脑软件、安卓手机软件的全平台漏洞检测方案，可对多种终端设备进行漏洞扫描和预警，防止用户的敏感个人隐私信息遭到泄露。

近日，针对流行的OpenSSL“心血”漏洞，360发布了漏洞修复工具，软件可以检测并修复本机存在漏洞的文件，打开方式：安全卫士→木马查杀→安全工具箱→“心血”漏洞修复。

两名不愿透露姓名的内部人士爆料，美国国家安全局NSA早已在两年前就得知Heartbleed漏洞的存在，且一直隐蔽地利用漏洞来窃取密码和收集数据。报道显示，当漏洞2012年首次现身时，NSA就发现该漏洞并一直保留访问权限。

这几天openssl的信息泄露漏洞闹得满城风雨，漏洞的原因http://drops.wooyun.org/papers/1381分析得很清楚了。第一个版本的EXP是针对HTTPS的，我提出作简单的IPS规则过滤。

OpenSSL漏洞与个人用户的电脑和系统的相关性很小，主要影响的是使用了相关OpenSSL的网站以及邮件服务器系统，如果用户登录存在此漏洞的网站或者系统，都可能被黑客实时监控获取您的账号密码。

OpenSSL的协议中，刚刚曝光了一个“毁灭性”的安全漏洞，或暴露某些重量级服务的加密密钥和私有通信。如果你的服务器正在使用OpenSSL 1.0.1f，请务必立即升级到OpenSSL 1.0.1g。