Krwawe luki w krwawieniach
心脏出血漏洞
Błękitne krwawienie (ang. Blood bleeding bug), zwane także błędnymi lukami, jest programem, który pojawia się w błędzie OpenSSL w bibliotece szyfrowania, ujawnionej po raz pierwszy w kwietniu 2014 roku. Biblioteka jest powszechnie stosowana do implementacji protokołu TLS (Secure Sockets Layer) w Internecie. Dopóki można zaatakować wykorzystanie wadliwego wystąpienia OpenSSL, niezależnie od tego, czy serwer lub klient może zostać zaatakowany. Problem ten jest spowodowany brakiem właściwej weryfikacji danych wejściowych (brak sprawdzania granic) podczas wdrażania TLS pulsu ekspansji, więc nazwa tej usterki pochodzi z "pulsu serca". Luka w zabezpieczeniach powodowana przez bufor w trakcie odczytywania, który może odczytywać dane niż powinien być dozwolony. Krwawienie z krążenia jest ponumerowane CVE-2014-0160 w systemie Common Vulnerability Revision (CVE). Kanada Network Response Center wydało biuletyn zabezpieczeń, aby przypomnieć administratorowi systemu zwrócić uwagę na luki. OpenSSL wydał wersję przywróconą 7 kwietnia 2014 r., Tego samego dnia, w którym luka została ujawniona publicznie. ... 心脏出血漏洞(英语:Heartbleed bug),也简称为心血漏洞,是一个出现在加密库OpenSSL的程序错误,首次于2014年4月披露。该库广泛用于实现互联网的安全套接层(TLS)协议。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题是因在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查)而导致的,因而漏洞的名称来源于“心跳”(heartbeat)。漏洞因缓冲区过读而引起,即可以读取的数据比应该被允许读取的还多。 心脏出血在通用漏洞披露(CVE)系统中的编号为CVE-2014-0160。加拿大网络事故响应中心发布安全公告,提醒系统管理员注意漏洞。OpenSSL于2014年4月7日,即漏洞公开披露的同一天,发布了修复后的版本。...
