http://www.ithome.com.tw/news/86526

OpenSSL周二（4/8）發佈緊急安全修補公告，公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞。

研究人員指出，Heartbleed臭蟲已存在2年以上，受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響，包括Debian Wheezy，Ubuntu 12.04.4 LTS，CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。

OpenSSL是一個開放源碼網路傳輸加密函式庫，使用相當廣泛，連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。

由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat（心跳）擴充功能之中，該漏洞受到攻擊時會造成記憶體內容的外洩，可能從伺服器端外洩到客戶端，或者由客戶端外洩到伺服器端，因此研究人員將它命名為Heartbleed（心在淌血） 臭蟲（Heartbleed bug）。這個漏洞並不是SSL/TLS協定的問題，而是OpenSSL函式庫的程式錯誤。

Codenomicon人員解釋，Heartbleed臭蟲可能讓網路上任何人讀取到由OpenSSL防護的系統記憶體，進而獲得辨識服務供應商或加密網路流量的密鑰，或是使用者的帳號密碼及實際內容。攻擊者可藉此竊取服務或身份驗證內容，並且假冒服務或使用者身份。

研究人員實地測試發現，Heartbleed臭蟲可讓他們無需權限資料就可以取得自己的x.509加密金鑰、用戶帳號、即時通訊、email及公司重要文件及通訊內容，而且完全不留任何痕跡。因此即使公司系統曾經遭到入侵，管理員可能也無從得知。




二年的bug現在才修復，不曉得有多少帳密流到駭客手上了。