OpenSSL官方网站4月7日发布公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是:
- 升级到最新版本OpenSSL 1.0.1g
- 无法立即升级的用户可以以-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL
- 1.0.2-beta版本的漏洞将在beta2版本修复
更老版本的OpenSSL(1.0.0和0.9.8等)反而不受影响。
OpenSSL 1.0.1和1.0.2-beta 这两个版本,如果使用则应该关闭心跳检测。这次漏洞主要原因就是因为心跳包的没对长度进行判断,导致越界发送内存中的数据。