[1353] Heartbleed

Title Text:I looked at some of the data dumps from vulnerable sites, and it was… bad. I saw emails, passwords, password hints. SSL keys and session cookies. Important servers brimming with visitor IPs. Attack ships on fire off the shoulder of Orion, c-beams glittering in the dark near the Tannh盲user Gate. I should probably patch OpenSSL.<

Origin:https://xkcd.com/1353/

https://www.explainxkcd.com/wiki/index.php/1353:_Heartbleed

Heartbleed错误是指OpenSSL加密库中的一个关键错误。这个错误是在2014年4月7日星期一公开披露的。由于OpenSSL版本1.0.1到1.0.1f中的编程错误 – 意味着错误已经存在了两年 – 攻击者可以通过发送特别准备的HeartbeatRequest来读取随机服务器内存消息到受影响的服务器。

OpenSSL是一个非常常用的库,用于实现SSL /TLS,这是一种加密协议,不仅用于保护Web流量,还用于邮件客户端等等。只有用户和服务器才能读取通信。在Web上,协议是https://(HTTP安全),而不是开放的http://标准。 SSL通常用于保护敏感的Web流量,例如登录请求,其中包含请求中的用户名和密码。在建立安全连接之前,服务器将证书发送到浏览器。如果证书已注册,则浏览器会自动接受该证书,否则用户会弹出一个接受或拒绝此不安全证书的弹出窗口。

允许攻击者在服务器上读取随机内存块的漏洞可能会让攻击者找到最近的用户名/密码请求,从而允许他们未经授权访问用户帐户。更糟糕的是,此漏洞可能会读取服务器的私钥,使任何人都可以模拟服务器和/或解密任何依赖该密钥的未来流量,以及之前获得的任何先前流量,除非使用“完美的前向保密”密码,这是目前罕见的。此外,Heartbleed漏洞利用发生在建立连接的握手阶段,因此没有记录它的痕迹,即您可能受到攻击而且永远不会更聪明。

有关更多信息,请访问heartbleed.com或参考CVE-2014-0160,网址为nvd.nist.gov。

在最后一个小组中,Megan广泛地解释了Cueball的问题(“一切都被妥协了吗?”)。她回答说,作为一个计算机错误,Heartbleed只能影响存储在计算机上的信息。 Cueball得出结论,记录在模拟媒体中的信息,例如写在纸上或用粘土片蚀刻的信息是安全的。梅根补充说,想象力也不受Heartbleed的影响,而Cueball也放心了。读者可能想知道,面对所有电子存储信息的破坏,我们的社会将如何发展,但让我们的想象力完好无疑是令人放心的。

标题文本引用了雨中独白的泪水,复制者和主要对手罗伊·巴蒂(由Rutger Hauer扮演)在1982年的电影“银幕杀手”中的濒临死亡的词语,暗示64KiB HeartBleed缓冲区非常完整,包括来自复制大脑的记忆。具有讽刺意味的是,在独白中,罗伊巴蒂表示“所有这些时刻都会及时消失”。

标题文本还建议自己修补OpenSSL,这可能是指Debian的修补版本的OpenSSL,它在2008年变得脆弱,并且是424的主题:安全漏洞。

Leave a Reply

Your email address will not be published. Required fields are marked *

Categories