概述

OpenSSL 心血(HeartBleed)漏洞 是openssl 在 2014-04-07 公布的重大安全漏洞（CVE-2014-0160）这个漏洞使攻击者能够从服务器内存中读取64 KB的数据，甚至获取到加密流量的密钥，用户的名字和密码，以及访问的内容。

主要影响版本 OpenSSL 1.0.1 到 OpenSSL 1.0.1f 以及 OpenSSL 1.0.2 Beta1

不受此漏洞影响的 OpenSSL版本信息：

• OpenSSL 1.0.1g 已修复该漏洞
• OpenSSL 1.0.0 分支版本不受此漏洞影响
• OpenSSL 0.9.8 分支版本不受此漏洞影响
• OpenSSL 1.0.2 Beta2 不受此漏洞影响

确认站点是否存在此漏洞

1. 可以直接利用在线工具检测 https 站点是否存在此漏洞(快捷、准确)。
2. 查看提供加密服务的OpenSSL版本是否在受影响的版本范围 ( 1.0.1—1.0.1f / 1.0.2 Beta1 )

操作系统openssl版本查看：

命令：openssl version

结果：OpenSSL 1.0.0-fips 29 Mar 2010

nginx openssl版本查看：

命令： nginx –V

结果：

nginx version: nginx/1.5.13

built by gcc 4.4.6 20120305 (Red Hat 4.4.6-4) (GCC)

TLS SNI support enabled

configure arguments: --prefix=/usr/local/nginx-1.5.13 --with-select_module --with-http_ssl_module --with-openssl=/home/user/openssl-1.0.1g --with-http_spdy_module --with-pcre=/home/user/pcre-8.33 --with-zlib=/home/user/zlib-1.2.8

windows Apache openssl版本查看：

命令：D:\httpd-2.4.7-x64\Apache24\bin>openssl version

结果：

WARNING: can't open config file: /apache24/conf/openssl.cnf

OpenSSL 1.0.1e 11 Feb 2013

修复方案

Openssl:

升级OpenSSL 1.0.1g

Nginx:

官方在 2014-04-08 发布了最新版本 1.5.13 修复了此漏洞请升级至最新版本

Apache：

建议下载最新版本 openssl 和 Apache 重新编译安装。

其他受影响的WebServer：

建议到官方更新不受此漏洞影响的版本。

漏洞分析

OpenSSL 是 Apache 和 nginx 网络服务器的默认安全协议，此外大量操作系统、电子邮件和即时通讯系统也采用OpenSSL加密用户数据 通讯。而此次发现的bug已经存在两年之久，这意味着攻击者可以利用该bug获取大量互联网服务器与用户之间的数字证书私钥，从而获取用户账户密码等敏感 数据。由于攻击者不会在服务器日志中留下痕迹，因此网站系统管理员将无法得知系统漏洞是否已经被黑客利用，也无从得知用户数据和账号是否已经被黑客扫描获

OpenSSL已经发布了1.0.1g修正bug，Debian发行版也在半小时修复了bug，Fedora发布了一个权宜的修正方案。 该bug是在2011年引入到OpenSSL中，使用OpenSSL 0.9.8的发行版不受影响，但Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4和NetBSD 5.0.2之后的版本都受到影响。如果你运行存在该bug的系统，那么最好废除所有密钥。