跳转至

Heartbleed (CVE-2014-0160)

Heartbleed(心脏滴血漏洞,CVE-2014-0160)

描述

Heartbleed (CVE-2014-0160) 是 OpenSSL 加密库中的一个安全漏洞,OpenSSL 是传输层安全 (TLS) 协议的广泛使用的实现。它于 2012 年被引入该软件,并于 2014 年 4 月公开披露。

无论易受攻击的 OpenSSL 实例是作为 TLS 服务器还是客户端运行,Heartbleed 都可能被利用。 它是由于 TLS heartbeat 扩展实现中的输入验证不当(由于缺少边界检查)造成的;因此,该漏洞的名称来源于 heartbeat。此外,该漏洞被归类为缓冲区过度读取,其中可以读取的数据超过了允许的范围。

建议

要减轻 Heartbleed 漏洞的风险,请考虑:

  • 更新 OpenSSL: 确保您正在使用包含 Heartbleed 补丁的最新版本的 OpenSSL。将您的系统、应用程序和设备更新到已修补的版本。
  • 替换 SSL 证书: 为您的服务器生成新的 SSL 证书并撤销旧证书。这有助于防止受损的私钥被潜在利用。
  • 重置用户凭证: 鼓励用户更改他们的密码,特别是如果他们在 Heartbleed 存在期间登录过受影响的服务。

链接

标准

  • PCI_STANDARDS:
    • REQ_2_2
    • REQ_4_2
    • REQ_6_2
    • REQ_6_3
    • REQ_6_4
    • REQ_11_3
  • SOC2_CONTROLS:
    • CC_2_1
    • CC_4_1
    • CC_7_1
    • CC_7_2
    • CC_7_4
    • CC_7_5
  • HIPAA_CONTROLS:
    • SECURITY252
    • SECURITY212
    • SECURITY213
    • SECURITY255
    • SECURITY258