紧急警告，OpenSSL Heart Bleed漏洞，12.04 LTS受其影响

[farta]

最近可能很多人听说了，互联网安全基础之一的OpenSSL爆出重大安全漏洞，攻击者可以用一个并不困难的办法，让OpenSSL直接泄露最多64K的工作内存的内容。这64K里可能会有许多敏感数据，如用户名，密码，Session ID，甚至私钥，会有机会直接造成你的安全体系崩塌。包括yahoo在内的诸多大型网站纷纷中招，正在紧急修复中。这是今年互联网安全的大事，比苹果那个go to fail可怕得多。

各OpenSSL版本状态如下

OpenSSL 1.0.1 到 1.0.1f (包含) 受影响
OpenSSL 1.0.2-beta 受影响
OpenSSL 1.0.1g 不受影响
OpenSSL 1.0.0 不受影响
OpenSSL 0.9.8 不受影响

受影响的部分操作系统如下

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

可以看到大量主流服务器系统几乎全军覆没，包括Ubuntu 12.04 LTS。更高版本的Ubuntu有无修复，请对照OpenSSL版本。如果你在用12.04LTS架有SSL的服务器，关注这件事件，尤其关注Ubuntu官方补丁，用最快速度去修复。

更多信息请猛击此处。

[aiikii]

谢谢提醒，正在下载更新。

[farta]

谢谢提醒，正在下载更新。

尤其注意是否有OpenSSL的更新，更新之前查看更新说明，是否是修复了这个编号为CVE-2014-0160的BUG。并看一下更新后OpenSSL的版本确认修复。

要确认地彻底一些，可以用apt直接下载当前版本的OpenSSL的源代码，并对照这个页面中的代码分析，来确认bug已经修复。

[shinery]

linux mint 16 kde：

OpenSSL 1.0.1e 11 Feb 2013

[shinery]

谢谢提醒，正在下载更新。

尤其注意是否有OpenSSL的更新，更新之前查看更新说明，是否是修复了这个编号为CVE-2014-0160的BUG。并看一下更新后OpenSSL的版本确认修复。

要确认地彻底一些，可以用apt直接下载当前版本的OpenSSL的源代码，并对照这个页面中的代码分析，来确认bug已经修复。

对普通单个用户没有什么影响吧？

[farta]

谢谢提醒，正在下载更新。

尤其注意是否有OpenSSL的更新，更新之前查看更新说明，是否是修复了这个编号为CVE-2014-0160的BUG。并看一下更新后OpenSSL的版本确认修复。

要确认地彻底一些，可以用apt直接下载当前版本的OpenSSL的源代码，并对照这个页面中的代码分析，来确认bug已经修复。

对普通单个用户没有什么影响吧？

这个漏洞可怕的地方就在这里。任何使用带缺陷的OpenSSL网站的所有普通用户都可能泄密。而且对普通用户来说，没有解决方案。因为这个漏洞存在于服务器端。用户唯有祈祷自己注册的网站在修复前没有被黑客光顾。如果有光顾的可能，那只能在修复后改密码。如果说姓名，身份证号，信用卡号之类的信息泄露了，没有办法挽回。