OpenSSL官方網站4月7日發佈公告,有研究人員發現OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(編號爲CVE-2014-0160),可能暴露密鑰和私密通信,應該儘快修補,方法是:
- 升級到最新版本OpenSSL 1.0.1g
- 無法立即升級的用戶可以以-DOPENSSL_NO_HEARTBEATS開關重新編譯OpenSSL
- 1.0.2-beta版本的漏洞將在beta2版本修復
更老版本的OpenSSL(1.0.0和0.9.8等)反而不受影響。
OpenSSL 1.0.1和1.0.2-beta 這兩個版本,如果使用則應該關閉心跳檢測。這次漏洞主要原因就是因爲心跳包的沒對長度進行判斷,導致越界發送內存中的數據。