心臟出血漏洞
心臟出血漏洞(英語:Heartbleed bug),簡稱為心血漏洞,是一個出現在加密程式庫OpenSSL的安全漏洞,該程式庫廣泛用於實現網際網路的傳輸層安全(TLS)協定。它於2012年被引入OpenSSL,2014年4月首次向公眾披露。使用存在缺陷的OpenSSL實例時,無論是伺服器還是客戶端,都可能因此而受到攻擊。此問題的原因是在實現TLS的心跳擴充時沒有對輸入進行適當驗證(缺少邊界檢查)[3],因此漏洞的名稱來源於「心跳」(heartbeat)[4]。該程式錯誤屬於緩衝區過讀[5],即可以讀取的資料比應該允許讀取的還多[6]。
CVE識別碼 | CVE-2014-0160 |
---|---|
發布日期 | 2012年2月1日 |
發現日期 | 2014年4月1日 |
修補程式發布日期 | 2014年4月7日 |
發現者 | 尼爾·梅塔 |
受影響軟體 | OpenSSL (1.0.1) |
網站 | heartbleed |
心臟出血在通用漏洞披露(CVE)系統中的編號為CVE-2014-0160[5]。加拿大網路事故回應中心發布安全公告,提醒系統管理員注意漏洞[7]。2014年4月7日,即漏洞公開披露的同一天,OpenSSL發布了修復後的版本。
截至2014年5月20日[update],在80萬最熱門的啟用TLS的網站中,仍有1.5%易受心臟出血漏洞的攻擊。[8]
因為缺陷在於OpenSSL的實現,而不是SSL/TLS協定本身,所以除了OpenSSL之外的其他TLS實現方式,如GnuTLS、Mozilla的網路安全服務(NSS)和Windows平台的TLS實現都不受影響[9]。
歷史
編輯2012年2月,傳輸層安全(TLS)和資料報傳輸層安全(DTLS)協定的心跳擴充成為了標準,是為RFC 6520[10]。它提供了一種無需每次都重新協商連接,就能測試和保持安全通訊鏈路的方式。2011年,RFC的作者之一,當時杜伊斯堡-埃森大學的博士生羅賓·賽格爾曼(Robin Seggelmann)為OpenSSL實現了心跳擴充。賽格爾曼向OpenSSL發出的推播請求之後[11][12][13],他的更改由OpenSSL四位核心開發者之一的史蒂芬·N.漢森(Stephen N. Henson)稽核。漢森未能注意到賽格爾曼實現中的錯誤,於2011年12月31日將有缺陷的代碼加入了OpenSSL的原始碼庫。2012年3月14日,OpenSSL 1.0.1版發布,漏洞開始傳播。心跳支援預設是啟用的,這使受影響的版本易受攻擊[14][15][16]。
發現
編輯根據OpenSSL的馬克·J.考克斯(Mark J. Cox)的說法,谷歌安全團隊的尼爾·梅塔(Neel Mehta)於2014年4月1日11:09 UTC報告了心臟出血漏洞[17]。
該漏洞由芬蘭網路安全公司Codenomicon的工程師命名,該公司也設計了心臟出血標誌,並設立了網站heartbleed
據信在漏洞披露時,約有17%(大約五十萬)通過認證機構認證的網際網路安全網路伺服器容易受到攻擊,導致伺服器私鑰和使用者對談cookie及密碼被盜[22][23][24][25][26]。電子前哨基金會[27]、Ars Technica[28]和布魯斯·施奈爾[29]均認為心臟出血漏洞是「災難性的」。福布斯網路安全專欄作家約瑟夫·斯坦伯格寫道:
有些人認為,至少就其潛在影響而言,「心臟出血」是自網際網路商用以來所發現的最嚴重的漏洞。[30]
英國內閣發言人建議:
人們應該按照網站建議更改他們所造訪網站的密碼。 大多數網站已經修復了漏洞,人們聽從網站建議,從而決定是否採取行動以及採取什麼行動,再合適不過了。[31]
漏洞披露當日,Tor專案在其部落格發布公告,建議
如果您在網際網路上需要高度的匿名或隱私,在接下來的幾天裡應該完全遠離網際網路,直到問題解決。[32]
雪梨晨鋒報於2014年4月15日刊登了事件的時間軸,其中可見一些組織在其公開披露之前就已經修補了漏洞,其中有些組織不清楚他們是如何得知這一訊息的[33]。
錯誤修正及部署
編輯博德·默勒(Bodo Moeller)和谷歌的亞當·蘭利(Adam Langley)完成了心臟出血漏洞的修補程式。由此產生的修補程式於2014年3月21日加入到了Red Hat的問題跟蹤系統中[34]。4月7日,史蒂芬·N.漢森在OpenSSL版本控制系統中應用了修補程式[35]。第一個修復後的版本1.0.1g於同一天發布。截至2014年6月21日[update],309,197台公共網路伺服器仍存在漏洞[36]。
憑證的更新及復原
編輯根據Netcraft的說法,截至2014年4月11日[update],在超過50萬張可能已因心臟出血漏洞而失密的X.509憑證中,約3萬張已經補發,復原的並不多。[37]
截至2014年5月9日[update],僅有43%的受影響網站重發了自己的安全憑證。此外,在重發的安全憑證中,有7%使用了可能已洩露的金鑰。Netcraft稱:
每周電腦報對此評論,心臟出血漏洞是「可能持續數月,甚至是數年的危險」[39]。
利用
編輯加拿大稅務局(CRA)稱,900納稅人的社會保險號碼遭竊,並表示在2014年4月8日的6個小時內,有人利用了該漏洞得到了這些資料[40]。在發現攻擊後,該機構關閉了網站,並將納稅人的申報期限從4月30日延長至了5月5日[41]。該機構表示,將向任何受影響的人提供信譽保障服務,不收取任何費用。4月16日,皇家加拿大騎警宣布,他們已掌握了一名與該盜竊有關的工程學學生資訊,並指控其「未經授權使用電腦」及「有關資料的惡作劇」[42][43]。
英國育兒網站Mumsnet發現部分使用者帳戶被劫持,CEO被假冒[44]。該網站後發表事件聲明,稱其是由心臟出血漏洞所導致,且技術人員已將其及時修復[45]。
反惡意軟體研究人員還利用了該漏洞,訪問了網路罪犯的秘密論壇[46]。研究人員還特意設立了存在漏洞的機器以進行研究。例如,在2014年4月12日,至少有兩位獨立研究人員成功竊取了CloudFlare為此而設立的實驗伺服器的私鑰[47][48]。此外,在2014年4月15日,密西根大學教授J·亞歷克斯·黑爾德曼稱,他的蜜罐伺服器(旨在吸引並研究攻擊的刻意留有漏洞的伺服器)遭到了無數來自中國的攻擊。黑爾德曼得出結論,因為這個伺服器相當不起眼,這些很可能是大範圍影響網際網路的橫掃攻擊[49]。
2014年8月報道稱,駭客利用心臟出血漏洞,竊取了美國第二大營利性連鎖醫院機構社群衛生系統的安全金鑰,導致450萬份病人病歷洩密。入侵發生在該漏洞首次公布後一星期[50]。
事先可能的了解及利用
編輯在公布後數日,許多大型網站修補了漏洞,或禁用了心跳擴充[51],但不清楚是否潛在攻擊者早就意識到了這一點,及利用程度幾何。
研究人員在檢查稽核紀錄檔後認為,至少在發現和公布的5個月前,一些攻擊者可能已經利用了這個漏洞[52][53]。不過Errata Security指出,於漏洞公開的六個月前發布並廣泛使用的非惡意程式「Masscan」,會像漏洞所表現的那樣,於握手時突然終止連接,從而生成相同的伺服器紀錄檔訊息。該公司還表示:「兩樣會產生相同錯誤訊息的新東西看起來可能是有關連的,但當然,其實他們並不相關。」[54]
據彭博新聞社,二位不願透露姓名的內部人士稱,美國國家安全局(NSA)在漏洞出現後不久就知道了它的存在,但卻沒有公布,而是將其作為零日漏洞予以保密,以便能為己所用[55][56][57]。NSA否認了這一說法[58],美國國家情報和通訊技術審議小組的理察·A·克拉克也予以否認,該小組負責審查美國的電子監控政策。2014年4月11日,克拉克向路透社表示,NSA之前並不知道該漏洞[59]。有關指控促使美國政府首次就其零日漏洞政策發表公開聲明,接受審查小組2013年的報告中所提的建議,「在幾乎所有的情況,消除廣泛使用的軟體代碼中的漏洞比起利用它們進行情報搜集更符合美國的國家利益」,並稱保密漏洞的權力將由NSA轉移到白宮[60]。
表現
編輯RFC 6520心跳擴充定義了一種測試TLS/DTLS安全通訊鏈路的方法,允許連接一端的電腦傳送「心跳請求」訊息,訊息包含有效載荷(通常是文字字串),附帶有效載荷的長度(用16位元整數表示)。隨後,接收方電腦必須傳送完全相同的有效載荷以返回給傳送方。
受影響的OpenSSL版本根據請求訊息中的長度欄位分配主記憶體緩衝區,用於儲存要返回的訊息,而不考慮訊息中有效載荷的實際長度。因為缺少邊界檢查,返回的訊息不僅包括有效載荷,還可能含有其他恰巧在已分配緩衝區中的訊息。
因此,通過構造出載荷短、長度欄位中的數值卻很大的請求,向存在缺陷的一方(通常是伺服器)傳送畸形心跳包,利用心臟出血漏洞,引起受害者的回應,這樣,攻擊者便可讀取到受害者主記憶體中至多64千位元組的資訊,而這塊區域先前OpenSSL有可能已經使用過[61]。例如,正常的心跳請求可能會要求一方「返回4個字元的單詞『bird』」,那一方就返回「bird」;「心臟出血請求」(惡意的心跳請求)如「返回500個字元的單詞『bird』」會導致受害者返回「bird」,緊接著是恰儲存在受害者活躍主記憶體中的496個字元。這樣,攻擊者便可能會收到敏感資料,從而危及受害者其它安全通訊的保密性。雖然攻擊者能對返回的主記憶體塊大小有所控制,但卻無法決定它的位置,因而不能指定要顯示內容。
受影響的OpenSSL實例
編輯受影響的OpenSSL版本為1.0.1至1.0.1f(含)。較新版本(1.0.1g[62]以上)及先前版本(1.0.0分支以前)不受影響[63]。受影響的版本實例均存在缺陷,除非在OpenSSL編譯時加上-DOPENSSL_NO_HEARTBEATS
[64][65]。
存在缺陷的程式和函式
編輯存在缺陷的程式的原始檔為t1_lib.c及d1_both.c,而存在缺陷的函式為tls1_process_heartbeat()及dtls1_process_heartbeat()。[66][67]
修補程式
編輯可通過忽略要求了比負載更多的資料的心跳請求訊息來修復此問題。
OpenSSL版本1.0.1g增加了一些邊界檢查,以防止過度讀取緩衝區。例如,已添加了下列測試,以丟棄將引發心臟出血漏洞的心跳請求,以防產生回覆:
if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* silently discard per RFC 6520 sec. 4 */
版本控制系統有完整的更改列表。[35]
影響
編輯經由心臟出血漏洞發動攻擊,獲得的資料可能包括TLS雙方將要交換、但尚未加密的機密內容,包括在使用者請求中各種格式的post資料。此外,洩漏的資料還可能含有身分驗證密令,如對談cookie及密碼,可使攻擊者向該服務冒充此使用者。[68]
攻擊還可能洩漏受攻擊雙方的私鑰[14][16][69],這將使攻擊者能解密通訊內容(將來或是之前通過被動竊聽擷取而儲存的通訊,除非使用完全正向保密,而在這種情況下,只能解密將來通過中間人攻擊截獲的通訊)。
即使漏洞修復之後,獲得受害者認證資料的攻擊者仍能偽裝成資料的擁有者,只要該資料能被接受(例如,在更改密碼或復原私鑰之前)。因此,漏洞對保密性構成了致命威脅。然而,冒充受害人的攻擊者也能修改資料,所以間接的後果可能不只是系統機密洩漏那麼簡單。[70]
一項於2014年4月對美國成人進行的調查顯示,60%的人聽說過心臟出血漏洞。使用網際網路的受訪者中有39%的人採取了行動以保護他們的線上帳戶,如更改密碼或註銷帳戶;29%的人認為他們的個人資訊因漏洞而處於危險之中;6%的人認為他們的個人資訊已遭竊取。[71]
客戶端漏洞
編輯雖然該漏洞更多因其對伺服器的威脅而受關注[72],使用受影響OpenSSL實例的TLS客戶端也易受攻擊。惡意伺服器能利用該漏洞從易受攻擊的客戶端的主記憶體中讀取資料,這就是衛報所稱的「逆向心臟出血漏洞」[73]。安全研究員史蒂夫·吉布森(Steve Gibson)在談及該漏洞時稱,
它不只是伺服器端的漏洞,它也是客戶端的漏洞,因為伺服器、或你連接的任何人,都能向你請求心跳包,正如你能向他們請求一樣。[74]
失竊資料可能包含使用者名稱和密碼[75]。逆向心臟出血漏洞影響了數以百萬計的應用實例[73]。部分易受攻擊的應用程式列於下面的「應用軟體」一節中。
具體受影響的系統
編輯思科系統已確認其下78種產品存在缺陷,包括IP電話系統和網真(視訊會議)系統。[76]
網站及其它線上服務
編輯2014年4月8日,GitHub上有一項對瀏覽量最大的網站的分析,發現受影響的網站包括雅虎、Imgur、Stack Overflow、Slate及DuckDuckGo[77][78]。下列網站已發布公告,因受漏洞影響,建議使用者更改密碼:
- Akamai[79]
- 亞馬遜網路服務系統[80]
- Ars Technica[81]
- Bitbucket[82]
- BrandVerity[83]
- Freenode[84]
- GitHub[85]
- IFTTT[86]
- 網際網路檔案館[87]
- 我的世界[88]
- Mumsnet[44]
- PeerJ[89]
- Pinterest[90]
- Prezi[91]
- Reddit[92]
- 嚇人玩意[93]
- SoundCloud[94]
- SourceForge[95]
- SparkFun[96]
- Stripe[97]
- Tumblr[98][99]
- 維基媒體基金會下屬所有wiki(包括全語言維基百科)[100][101]
- Wunderlist[102]
加拿大聯邦政府出於漏洞的安全考慮,暫時關閉了加拿大稅務局(CRA)及多個政府部門的線上服務[103][104]。
平台維護者(如維基媒體基金會)建議他們的使用者更改密碼[100]。
LastPass的伺服器存在缺陷[105],但因額外的加密及正向安全,潛在的攻擊者無法利用此漏洞。不過LastPass仍建議使用者修改所有受影響網站帳戶的密碼[106]。
Tor專案建議中繼和隱蔽服務的執行者在修補OpenSSL後,應復原並生成新金鑰,但同時指出,兩套Tor中繼金鑰及多跳設計最大限度地減少了單一中繼遭竊取所造成的影響[32]。作為預防措施,隨後發現存在漏洞的586個中繼被強制下線[107][108][109][110]。
包括Steam、我的世界、戰遊網、英雄聯盟、GOG.com、Origin、索尼線上娛樂、Humble Bundle及流亡黯道在內的遊戲受到影響,隨後得到修復[111]。
應用軟體
編輯存在缺陷的應用軟體套件括:
- 若干惠普伺服器應用程式,如Linux和Windows上的HP系統管理首頁(SMH)。[112]
- FileMaker 13的某些版本[113]
- LibreOffice 4.2.0至4.2.2(4.2.3已修復)[114][115]
- LogMeIn聲稱已「更新許多我們依賴OpenSSL的產品和服務組件」。[116]
- 若干McAfee產品,即為Microsoft Exchange、軟體防火牆、及McAfee電子郵件和網頁閘道器提供病毒防護的軟體的某些版本[117]
- MySQL Workbench 6.1.4及更早[118]
- Oracle MySQL Connector/C 6.1.0-6.1.3和Connector/ODBC 5.1.13、5.2.5-5.2.6、5.3.2[118]
- 甲骨文巨量資料機(包括Oracle Linux 6)[118]
- Primavera P6專業專案管理(包括Primavera P6企業專案組合管理)[118]
- WinSCP(Windows FTP客戶端)5.5.2及一些早期版本(僅當通過TLS/SSL使用FTP時,於5.5.3版本修復)[119]
- 若干VMware產品,包括VMware ESXi 5.5、VMware Player 6.0、VMware Workstation 10及Horizon系列產品、仿真器和雲端運算套件[120]
作業系統/韌體
編輯若干GNU/Linux發行版都受到了影響,包括Debian[121](及其衍生版,如Linux Mint和Ubuntu[122])和Red Hat Enterprise Linux[123](及其衍生版,如CentOS[124]、Oracle Linux 6[118]和Amazon Linux[125]),還有下列作業系統及韌體:
- Android 4.1.1,在各種可攜式裝置中使用[126]。克里斯·史密斯(Chris Smith)在Boy Genius Report寫道,僅這一版本受影響,但它卻是Android很受歡迎的一版(Chitika聲稱50萬台裝置執行著4.1.1[127];谷歌則稱不到總啟用裝置的10%)。其它Android版本不存在缺陷,因其或禁用了心跳,或使用的是不受影響的OpenSSL版本[128][129]
- 某些AirPort基站的韌體[130]
- 某些思科系統路由的韌體[76][131][132]
- 某些Juniper Networks路由的韌體[132][133]
- IPCop 2.1.3及某些早期版本(於2.1.4修復)[134]
- pfSense 2.1.0及2.1.1(於2.1.2修復)[135]
- 威騰電子My Cloud產品系列的韌體[136]
漏洞檢測服務
編輯一些網站推出了測試,檢測給定的網站上是否存在心臟出血漏洞。然而,據稱許多這種測試都不是很有效[137]。可用的工具包括:
- Tripwire SecureScan[138]
- AppCheck——靜態二進制檔案掃描,來自Codenomicon[139]
- Arbor Network的Pravail Security Analytics[140]
- Norton Safeweb心臟出血測試工具[141]
- 歐洲IT安全公司的心臟出血測試工具[142]
- 心臟出血掃描器,來自義大利資訊安全專家菲利普·瓦爾索達(Filippo Valsorda)[143]
- Cyberoam的心臟出血測試[144]
- Critical Watch免費線上心臟出血測試器[145]
- Metasploit心臟出血掃描模組[146]
- Rehmann的心臟出血伺服器掃描[147]
- Lookout手機安全公司心臟出血探測器,一個用於安卓裝置的應用程式,可確定裝置使用的OpenSSL版本,並指出是否啟用了有缺陷的心跳特性[148]
- LastPass的心臟出血檢查器[149]
- Pentest-Tools.com的線上心臟出血漏洞網路範圍掃描器[150]
- 以Python語言寫成的紅帽公司官方離線掃描器[151]
- Qualys SSL實驗室的SSL伺服器測試[152],不僅能尋找心臟出血漏洞,還能找到其他SSL/TLS實現中的錯誤。
- 瀏覽器擴充,如Chromebleed[153]和FoxBleed[154]
- SSL Diagnos[155]
- CrowdStrike心臟出血掃描器[156] - 掃描路由器、印表機及其他連接到網路的裝置,包括Intranet網站。[157]
- Netcraft網站報告[158] - 基於Netcraft的SSL調查資料,確定網站在漏洞公開之前是否提供了TLS心跳擴充,以此指出網站的保密性是否受到危害。Netcraft的Chrome、Firefox和Opera[159]也能進行同樣的檢查,同時尋找可能已失密的憑證[160]。
其他安全工具添加了相應功能,以尋找此漏洞。例如,Tenable Network Security為其Nessus漏洞掃描器寫了外掛程式,以掃描出此問題[161]。Nmap安全掃描器自6.45版本起包含了心臟出血檢測指令碼[162]。
Sourcefire已經發布了Snort規則,以檢測心臟出血攻擊流量和可能的心臟出血回應流量[163]。開源封包分析軟體,如Wireshark及tcpdump,使用特定的BPF封包過濾器,將其作用於擷取並儲存的封包和即時流量上,可以辨識出心臟出血包[164]。
補救
編輯通過將OpenSSL更新到已修補的版本(1.0.1g或更高版本),可以解決心臟出血漏洞。OpenSSL可以用作獨立程式、動態共享對象或靜態連結庫,因此,更新可能需要重新啟動載入了OpenSSL易受攻擊版本的行程,及重新連結靜態連結它的程式和庫。實際上,這意味著更新靜態連結OpenSSL的軟體套件,並重新啟動正在執行的程式,以刪除主記憶體中舊的、易受攻擊的OpenSSL代碼副本。
在漏洞修復後,伺服器管理員必須解決保密資料可能洩漏的問題。因為心臟出血允許攻擊者得到私鑰,所以必須認為這些金鑰已洩密。須重新生成金鑰對,使用它們的憑證也要重新簽發,並且吊銷舊憑證。心臟出血也有可能會洩漏其他在主記憶體中的保密資料,因此,其他認證材料(如密碼)也應該重新生成。很難確定受影響的系統是否沒有受到損害,或者某個特定資訊是否已被洩露。[165]
瀏覽器安全憑證吊銷感知
編輯由於漏洞威脅著私鑰的安全,即使是在漏洞已修復、先前的憑證已吊銷後,如果受攻擊網站的使用者所使用的瀏覽器無法發現憑證已吊銷,漏洞仍會對他們有影響。安全憑證吊銷感知測試雖不測試系統是否存在心臟出血漏洞,但讓使用者測試他們的網頁瀏覽器,在網站使用的憑證已吊銷的情況下,是否允許繼續訪問[166]。因此,修復此漏洞,使用者還需要更新瀏覽器,確保具有最新的憑證吊銷列表(或OCSP支援)及憑證吊銷功能。
根本原因、可能的教訓及回應
編輯漏洞造成的損失難以評估,不過據eWEEK估計至少為5億美元[167]。
戴維·A·惠勒在論文《如何防止下一個心臟出血漏洞》中分析了為什麼沒能更早發現漏洞,並且提出了幾種可能能更快辨識漏洞,以及減小其影響的方法。據惠勒所言,要防止心臟出血漏洞,最有效的方法是用一套非典型的測試套件徹底執行他所說的「負面測試」,即測試無效的輸入是否會導致程式失敗,而非成功。惠勒強調,應有一套通用的測試套件以作為所有TLS實現的基礎[168]。
據The Conversation上羅伯特·默克爾(Robert Merkel)的文章,心臟出血漏洞揭示了「風險分析上的巨大失敗」。默克爾認為,OpenSSL注重效能,而不是安全,在他看來這毫無意義。但他認為,與其指責OpenSSL還不如指責它的使用者,他們選擇使用OpenSSL卻並未提供資金以進行更好的審查和測試。他解釋道,有兩方面因素決定了將來還有出現類似安全漏洞的風險。首先,程式庫的原始碼會影響寫出有類似影響漏洞的可能。默克爾提到,使用C語言就是一個有利於此種漏洞出現的危險因素,這與惠勒的分析一致。其次,OpenSSL的貢獻流程會影響能快速修復錯誤的機率[168][169]。
塔林理工大學的簡思·格特魯(Jens Getreu)在他的文章中提到,如果OpenSSL使用保證主記憶體安全的Rust語言開發,那麼心臟出血漏洞本來是可以避免的[170]。百度則使用Rust語言實現了MesaLink TLS專案;MesaLink提供和OpenSSL相容的API,從而可以在cURL等專案中替換OpenSSL[171]。
西奧·德·若特,OpenBSD和OpenSSH專案的創始人和領導者,就同一方面批評OpenSSL的開發人員編寫自己的主記憶體管理程式,如他所說的那樣,這就繞過了OpenBSD C標準函式庫對漏洞的防範,他說「OpenSSL是由一個不負責任的團隊開發的。」[172][173]繼心臟出血漏洞披露之後,OpenBSD專案的成員從OpenSSL復刻出了LibreSSL[174]。
修改程式而導致該漏洞的程式設計師羅賓·賽格爾曼[175]聲稱自己「忽略掉了對長度變數的驗證」,並否認提交有缺陷的實現是刻意為之[11]。在漏洞公開後,賽格爾曼就另一方面提出了建議,指出OpenSSL沒有經過足夠多的人的審查。[176]雖然他的工作經過了OpenSSL核心開發人員的審查,審查的目的卻主要是驗證功能的改進是否正確,這會使漏洞更容易放過[168]。
OpenSSL核心開發者本·勞里稱,OpenSSL的安全審查本可以發現心臟出血漏洞[177]。軟體工程師約翰·沃爾什(John Walsh)評論道:
想想看,OpenSSL僅有兩名(全職)雇員,卻要編寫、維護、測試、審查50萬行的關鍵業務代碼。[178]
OpenSSL基金會主席史蒂夫·馬奎斯(Steve Marquess)說:「奇怪之處不在於幾名超負荷工作的志願者漏過了這個錯誤;真正神奇的是這種事之前都沒有發生。」[179]戴維·A.惠勒認為通常情況下,審查是一種發現漏洞的很好方式,但他指出,「OpenSSL使用了過於複雜的結構,使它更難為人類和機器所審查。」他寫道:
在簡化代碼上應不斷努力,否則若只是添加功能,軟體的複雜度就會逐漸增加。隨著時間的推移,代碼應及時重構,使之簡潔明了,而不只是不斷地添加新功能。要達成的目標應該是讓代碼「顯然正確」,而不是使代碼變得太複雜,以至於「我看不出有什麼問題」。[168]
LibreSSL進行了大規模的代碼清理,僅在第一周內就移除了超過90000行C代碼。[180]
據安全研究人員丹·卡明斯基說,心臟出血漏洞是該基金會經濟問題的徵兆,這需要解決。從發現這個在「關鍵」依賴包中一個簡單功能的簡單錯誤所花費的時間來看,卡明斯基擔心如不採取任何措施,未來還會有無數這樣的漏洞。在發現漏洞時,OpenSSL僅有少數志願者負責維護,其中只有一人將其作為全職工作[181]。每年OpenSSL專案收到的捐款大約為2000美元[182]。Codenomicon的心臟出血漏洞網站呼籲為OpenSSL專案捐款[14]。在了解到漏洞披露後的兩三天內,捐款總額為841美元後,卡明斯基說:「我們正在製造全球經濟中最重要的技術,依靠的卻是投入資金少得讓人驚訝的基礎設施。」[183]核心開發者本·勞里則認為專案資金「完全沒有著落」[182]。儘管OpenSSL軟體基金會沒有錯誤賞金計劃,但網際網路錯誤賞金計劃主動給發現心臟出血漏洞的尼爾·梅塔獎勵了15000美元,以表彰她將其披露的負責任行為[182]。
保羅·基烏薩諾(Paul Chiusano)認為是軟體經濟學的失敗導致了此漏洞。[184]
面對此次危機,行業集體反應,2014年4月24日Linux基金會宣布成立核心基礎架構聯盟,這是一個數百萬美元的專案,能為處在全球資訊基礎架構中的關鍵要素提供資金[185]。出資人包括亞馬遜、戴爾、Facebook、富士通、谷歌、IBM、英特爾、微軟、NetApp、Rackspace、VMware和Linux基金會。該聯盟旨在讓開發人員能全職在專案上工作,並且支付安全審計、硬體和軟體基礎設施,旅行及其他費用[186]。OpenSSL是該聯盟資金首位獲得者的候選人[185]。
此漏洞後,谷歌成立了Project Zero尋找零日漏洞,來幫助保護網路和社會。[187]
參考
編輯- ^ McKenzie, Patrick. What Heartbleed Can Teach The OSS Community About Marketing. Kalzumeus. 2014-04-09 [2018-02-08]. (原始內容存檔於2017-12-20).
- ^ Biggs, John. Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. 2014-04-09 [2018-02-08]. (原始內容存檔於2018-02-11) (英語).
- ^ Security Advisory – OpenSSL Heartbleed Vulnerability. Cyberoam. 2014-04-11 [2018-02-08]. (原始內容存檔於2018-02-08).
- ^ Limer, Eric. How Heartbleed Works: The Code Behind the Internet's Security Nightmare. 2014-04-09 [2014-11-24]. (原始內容存檔於2014-11-11).
- ^ 5.0 5.1 CVE-2014-0160. Common Vulnerabilities and Exposures. Mitre. [2018-02-08]. (原始內容存檔於2018-01-24) (英語).
- ^ CWE-126: Buffer Over-read (3.0). Common Vulnerabilities and Exposures. Mitre. 2018-01-18 [2018-02-08]. (原始內容存檔於2018-02-08) (英語).
- ^ AL14-005: OpenSSL Heartbleed Vulnerability. Cyber Security Bulletins. Public Safety Canada. 2014-04-11 [2018-02-08]. (原始內容存檔於2018-02-08) (英語).
- ^ Leyden, John. AVG on Heartbleed: It's dangerous to go alone. Take this (an AVG tool). The Register. 2014-05-20 [2018-02-08]. (原始內容存檔於2018-01-23) (英語).
- ^ Pretorius, Tracey. Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability. Microsoft. 2014-04-10 [2018-02-08]. (原始內容存檔於2018-02-08) (美國英語).
- ^ Seggelmann, Robin; Tuexen, Michael; Williams, Michael. Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension. IETF. 2012-02 [2018-02-08]. . RFC 6520. .
- ^ 11.0 11.1 Grubb, Ben. Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately. The Sydney Morning Herald. 2014-04-11. (原始內容存檔於2014-04-12).
- ^ #2658: [PATCH] Add TLS/DTLS Heartbeats. OpenSSL. 2011. (原始內容存檔於2017-08-08).
- ^ Meet the man who created the bug that almost broke the Internet. Globe and Mail. 2014-04-11. (原始內容存檔於2018-01-04).
- ^ 14.0 14.1 14.2 14.3 14.4 Heartbleed Bug. 2014-04-08 [2014-04-10]. (原始內容存檔於2014-04-07).
- ^ Goodin, Dan. Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping. Ars Technica. 2014-04-08. (原始內容存檔於2017-12-30).
- ^ 16.0 16.1 Bar-El, Hagai. OpenSSL "Heartbleed" bug: what's at risk on the server and what is not. 2014-04-09. (原始內容存檔於2014-04-13).
- ^ Mark J Cox – #Heartbleed. [2014-04-12]. (原始內容存檔於2014-04-16).
- ^ Dewey, Caitlin. Why is it called the 'Heartbleed Bug'?. [2014-11-25]. (原始內容存檔於2014-10-09).
- ^ Lee, Timothy B. Who discovered the vulnerability?. Vox. 2014-04-10 [2017-12-04]. (原始內容存檔於2017-12-05) (英語).
- ^ Lee, Ariana. How Codenomicon Found The Heartbleed Bug Now Plaguing The Internet - ReadWrite. ReadWrite. 2014-04-13 [2017-12-04]. (原始內容存檔於2017-09-05) (美國英語).
Discovered independently by Google engineer Neel Mehta and the Finnish security firm Codenomicon, Heartbleed has been called 「one of the most serious security problems to ever affect the modern web.」(由谷歌工程師尼爾·梅塔和芬蘭安全公司Codenomicon獨立發現,心臟出血被稱為「影響現代網路的最嚴重的安全問題之一」。)
- ^ Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä – transl/Finnish researchers found a serious leakage of the heart of the Internet. 2014-04-10 [2014-04-13]. (原始內容存檔於2014-11-04).
- ^ Mutton, Paul. Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd. 2014-04-08 [2014-11-24]. (原始內容存檔於2014年11月19日).
- ^ Perlroth, Nicole; Hardy, Quentin. Heartbleed Flaw Could Reach to Digital Devices, Experts Say. New York Times. 2014-04-11. (原始內容存檔於2018-02-25).
- ^ Chen, Brian X. Q. and A. on Heartbleed: A Flaw Missed by the Masses. New York Times. 2014-04-09. (原始內容存檔於2014-04-12).
- ^ Wood, Molly. Flaw Calls for Altering Passwords, Experts Say. New York Times. 2014-04-10. (原始內容存檔於2017-10-19).
- ^ Manjoo, Farhad. Users' Stark Reminder: As Web Grows, It Grows Less Secure. New York Times. 2014-04-10. (原始內容存檔於2018-02-24).
- ^ Zhu, Yan. Why the Web Needs Perfect Forward Secrecy More Than Ever. Electronic Frontier Foundation. 2014-04-08. (原始內容存檔於2017-12-20).
- ^ Goodin, Dan. Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style. Ars Technica. 2014-04-08. (原始內容存檔於2017-07-14).
- ^ Schneier on Security: Heartbleed. Schneier on Security. 2014-04-11 [2014-04-10]. (原始內容存檔於2017-12-23).
- ^ Joseph Steinberg. Massive Internet Security Vulnerability – Here's What You Need To Do. Forbes. 2014-04-10. (原始內容存檔於2018-01-04).
- ^ Kelion, Leo. BBC News – US government warns of Heartbleed bug danger. BBC. 2014-04-11. (原始內容存檔於2017-12-19).
- ^ 32.0 32.1 OpenSSL bug CVE-2014-0160. Tor Project. 2014-04-07. (原始內容存檔於2017-07-10).
- ^ Grubb, Ben, Heartbleed disclosure timeline: who knew what and when, The Sydney Morning Herald, 2014-04-14 [2014-11-25], (原始內容存檔於2014-11-25)
- ^ heartbeat_fix. [2014-04-14]. (原始內容存檔於2018-11-19).
- ^ 35.0 35.1 "complete list of changes" (Git – openssl.git/commitdiff). The OpenSSL Project. 2014-04-07 [2014-04-10]. (原始內容存檔於2014-04-13).
- ^ Graham, Robert. 300k servers vulnerable to Heartbleed two months later. Errata Security. 2014-06-21 [2014-06-22]. (原始內容存檔於2014-06-23).
- ^ Heartbleed certificate revocation tsunami yet to arrive. Netcraft. 2014-04-11 [2014-04-24]. (原始內容存檔於2014-05-29).
- ^ Paul Mutton. Keys left unchanged in many Heartbleed replacement certificates!. Netcraft. 2014-05-09 [2016-09-11]. (原始內容存檔於2016年8月27日).
- ^ Sean Michael Kerner. Heartbleed Still a Threat to Hundreds of Thousands of Servers. eWEEK. 2014-05-10 [2014-12-31]. (原始內容存檔於2014-05-11).
- ^ Evans, Pete, Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC News, 2014-04-14, (原始內容存檔於2018-03-14)某些細節位於頁面連結的影片中。
- ^ Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug. 2014-04-14 [2014-11-04]. (原始內容存檔於2014-11-04).
- ^ Thibedeau, Hannah. Heartbleed bug accused charged by RCMP after SIN breach. CBC News. 2014-04-16. (原始內容存檔於2014-10-28).
- ^ Heartbleed hack case sees first arrest in Canada. BBC News. 2014-04-16. (原始內容存檔於2018-01-17).
- ^ 44.0 44.1 Kelion, Leo. BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency. BBC News. 2014-04-14. (原始內容存檔於2017-11-29).
- ^ Mumsnet and Heartbleed as it happened. Mumsnet. [2015-02-27]. (原始內容存檔於2017-12-29).
- ^ Ward, Mark. Heartbleed used to uncover data from cyber-criminals. BBC News. 2014-04-29. (原始內容存檔於2018-01-06).
- ^ Lawler, Richard. Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible. Engadget. 2014-04-11. (原始內容存檔於2017-12-29).
- ^ The Heartbleed Challenge. CloudFlare. 2014. (原始內容存檔於2014-04-12).
- ^ Robertson, Jordan. Hackers from China waste little time in exploiting Heartbleed. The Sydney Morning Herald. 2014-04-16. (原始內容存檔於2017-12-28).
- ^ Sam Frizell. Time Magazine: Report: Devastating Heartbleed Flaw Was Used in Hospital Hack. [2014-10-07]. (原始內容存檔於2014-10-07).
- ^ Cipriani, Jason. Heartbleed bug: Check which sites have been patched. CNET. 2014-04-09. (原始內容存檔於2017-12-29).
- ^ Gallagher, Sean. Heartbleed vulnerability may have been exploited months before patch. Ars Technica. 2014-04-09. (原始內容存檔於2017-03-03).
- ^ Eckersley, Peter. Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?. Eff.org. [2014-11-25]. (原始內容存檔於2014-11-26).
- ^ Graham, Robert. No, we weren't scanning for hearbleed before April 7. Errata Security. 2014-04-09 [2014-04-11]. (原始內容存檔於2017-10-16).
- ^ Riley, Michael. NSA Said to Exploit Heartbleed Bug for Intelligence for Years. Bloomberg L.P. 2014-04-12. (原始內容存檔於2014-04-11).
- ^ Molina, Brett. Report: NSA exploited Heartbleed for years. USA Today. [2014-04-11]. (原始內容存檔於2014-04-11).
- ^ Riley, Michael. NSA exploited Heartbleed bug for two years to gather intelligence, sources say. Financial Post. [2014-04-11]. (原始內容存檔於2014-04-11).
- ^ Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence. National Security Agency. 2014-04-11 [2014-12-31]. (原始內容存檔於2017-12-27).
- ^ Mark Hosenball; Will Dunham. White House, spy agencies deny NSA exploited 'Heartbleed' bug. Reuters. 2014-04-11. (原始內容存檔於2014-04-15).
- ^ Zetter, Kim. U.S. Gov Insists It Doesn’t Stockpile Zero-Day Exploits to Hack Enemies. wired.com. [2014-11-25]. (原始內容存檔於2014-11-29).
- ^ Hunt, Troy. Everything you need to know about the Heartbleed SSL bug. 2014-04-09 [2014-04-11]. (原始內容存檔於2014-04-11).
- ^ git.openssl.org Git – openssl.git/log. git.openssl.org. [2014-11-25]. (原始內容存檔於2014-04-15).
- ^ Spiceworks Community Discussions. community.spiceworks.com. [2014-04-11]. (原始內容存檔於2014-04-15).
- ^ The OpenSSL Project. OpenSSL Security Advisory [07 Apr 2014]. 2014-04-07 [2014-04-10]. (原始內容存檔於2014-04-08).
- ^ OpenSSL versions and vulnerability [9 April 2014]. [2014-04-09]. (原始內容存檔於2014年7月5日).
- ^ Cyberoam Users Need not Bleed over Heartbleed Exploit. cyberoam.com. [2014-04-11]. (原始內容存檔於2014-04-15).
- ^ tls1_process_heartbeat [9 April 2014]. [2014-04-10]. (原始內容存檔於2014年8月26日).
- ^ Why Heartbleed is dangerous? Exploiting CVE-2014-0160. IPSec.pl. 2014 [2014-04-10]. (原始內容存檔於2014-04-08).
- ^ John Graham-Cumming. Searching for The Prime Suspect: How Heartbleed Leaked Private Keys. CloudFlare. 2014-04-28 [2014-06-07]. (原始內容存檔於2017-12-28).
- ^ Judge, Kevin. Servers Vulnerable to Heartbleed [14 July 2014]. [2014-08-25]. (原始內容存檔於2014年8月26日).
- ^ Lee Rainie; Maeve Duggan. Heartbleed’s Impact. Pew Research Internet Project. Pew Research Center: 2. 2014-04-30. (原始內容存檔於2017-12-28).
- ^ Bradley, Tony. Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack. PCWorld. IDG Consumer & SMB. 2014-04-14. (原始內容存檔於2016-12-02).
- ^ 73.0 73.1 Charles Arthur. Heartbleed makes 50m Android phones vulnerable, data shows. The Guardian. Guardian News and Media Limited. 2014-04-15. (原始內容存檔於2017-12-29).
- ^ Security Now 451. Twit.Tv. [2014-04-19]. (原始內容存檔於2014-04-19).
- ^ Ramzan, Zulfikar. 'Reverse Heartbleed' can attack PCs and mobile phones. SC Magazine. Haymarket Media, Inc. 2014-04-24. (原始內容存檔於2016-10-06).
- ^ 76.0 76.1 OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products. Cisco Systems. 2014-04-09. (原始內容存檔於2017-12-29).
- ^ heartbleed-masstest: Overview. GitHub. [2014-04-19]. (原始內容存檔於2014-06-01).
- ^ Cipriani, Jason. Which sites have patched the Heartbleed bug?. CNET. 2014-04-10 [2014-04-10]. (原始內容存檔於2014-04-11).
- ^ Heartbleed FAQ: Akamai Systems Patched. Akamai Technologies. 2014-04-08. (原始內容存檔於2014-04-08).
- ^ AWS Services Updated to Address OpenSSL Vulnerability. Amazon Web Services. 2014-04-08. (原始內容存檔於2014-04-11).
- ^ Dear readers, please change your Ars account passwords ASAP. Ars Technica. 2014-04-08. (原始內容存檔於2017-06-16).
- ^ All Heartbleed upgrades are now complete. BitBucket Blog. 2014-04-09. (原始內容存檔於2014-04-11).
- ^ Keeping Your BrandVerity Account Safe from the Heartbleed Bug. BrandVerity Blog. 2014-04-09. (原始內容存檔於2014-04-11).
- ^ Twitter / freenodestaff: we've had to restart a bunch.... 2014-04-08. (原始內容存檔於2014-04-14).
- ^ Security: Heartbleed vulnerability. GitHub. 2014-04-08. (原始內容存檔於2014-04-10).
- ^ IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed. LifeHacker. 2014-04-08. (原始內容存檔於2014-04-13).
- ^ Heartbleed bug and the Archive | Internet Archive Blogs. Blog.archive.org. 2014-04-09 [2014-04-14].
- ^ Twitter / KrisJelbring: If you logged in to any of. Twitter.com. 2014-04-08 [2014-04-14]. (原始內容存檔於2014-04-14).
- ^ The widespread OpenSSL ‘Heartbleed' bug is patched in PeerJ. PeerJ. 2014-04-09. (原始內容存檔於2014-04-11).
- ^ Was Pinterest impacted by the Heartbleed issue?. Help Center. Pinterest. [2014-04-20]. (原始內容存檔於2014-04-21).
- ^ Heartbleed Defeated. [2014-04-13]. (原始內容存檔於2014-06-05).
- ^ Staff. We recommend that you change your reddit password. Reddit. 2014-04-14 [2014-04-14]. (原始內容存檔於2014-04-15).
- ^ IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI. [2014-04-13]. (原始內容存檔於2013-07-28).
- ^ Codey, Brendan. Security Update: We're going to sign out everyone today, here's why. SoundCloud. 2014-04-09. (原始內容存檔於2014-04-12).
- ^ SourceForge response to Heartbleed. SourceForge. 2014-04-10. (原始內容存檔於2014-04-11).
- ^ Heartbleed. SparkFun. 2014-04-09. (原始內容存檔於2014-04-13).
- ^ Heartbleed. Stripe. 2014-04-09 [2014-04-10]. (原始內容存檔於2014-04-13).
- ^ Tumblr Staff-Urgent security update. 2014-04-08 [2014-04-09]. (原始內容存檔於2014-04-09).
- ^ Hern, Alex. Heartbleed: don't rush to update passwords, security experts warn. The Guardian. 2014-04-09. (原始內容存檔於2015-01-07).
- ^ 100.0 100.1 Grossmeier, Greg. [Wikitech-l] Fwd: Security precaution – Resetting all user sessions today. Wikimedia Foundation. 2014-04-08 [2014-04-09]. (原始內容存檔於2014-06-18).
- ^ Grossmeier, Greg. Wikimedia's response to the "Heartbleed" security vulnerability. Wikimedia Foundation blog. Wikimedia Foundation. 2014-04-10 [2014-04-10]. (原始內容存檔於2014-04-13).
- ^ Wunderlist & the Heartbleed OpenSSL Vulnerability. 2014-04-10 [2014-04-10]. (原始內容存檔於2014-04-13).
- ^ Security concerns prompts tax agency to shut down website. CTV News. 2014-04-09 [2014-04-09]. (原始內容存檔於2021-01-18).
- ^ Heartbleed: Canadian tax services back online. CBC News. [2014-04-14]. (原始內容存檔於2018-04-25).
- ^ Fiegerman, Seth. The Heartbleed Effect: Password Services Are Having a Moment. Mashable. 2014-04-14. (原始內容存檔於2017-10-16).
- ^ LastPass and the Heartbleed Bug. LastPass. 2014-04-08 [2014-04-28]. (原始內容存檔於2017-12-30).
- ^ [tor-relays] Rejecting 380 vulnerable guard/exit keys. Lists.torproject.org. [2014-04-19]. (原始內容存檔於2014-04-19).
- ^ Tor Weekly News—April 16th, 2014 | The Tor Blog. Blog.torproject.org. [2014-04-19]. (原始內容存檔於2014-04-19).
- ^ Gallagher, Sean. Tor network's ranks of relay servers cut because of Heartbleed bug. Ars Technica. 2012-05-17 [2014-04-19]. (原始內容存檔於2014-04-20).
- ^ Mimoso, Michael. Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug | Threatpost | The first stop for security news. Threatpost. [2014-04-19]. (原始內容存檔於2014-04-19).
- ^ Paul Younger. PC game services affected by Heartbleed and actions you need to take. IncGamers. 2014-04-11. (原始內容存檔於2014-04-15).
- ^ HP Servers Communication: OpenSSL "HeartBleed" Vulnerability. 2014-04-18. (原始內容存檔於2016-03-04).
- ^ FileMaker products and the Heartbleed bug. 2014-05-06 [2015-01-01]. (原始內容存檔於2016-10-12).
- ^ italovignoli. LibreOffice 4.2.3 is now available for download. The Document Foundation. 2014-04-10 [2014-04-11]. (原始內容存檔於2014-04-12).
- ^ CVE-2014-0160. LibreOffice. 2014-04-07 [2014-05-02]. (原始內容存檔於2014-05-03).
- ^ LogMeIn and OpenSSL. LogMeIn. [2014-04-10]. (原始內容存檔於2014-04-11).
- ^ McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products. McAfee KnowledgeBase. McAfee. 2014-04-17. (原始內容存檔於2014-04-16).
- ^ 118.0 118.1 118.2 118.3 118.4 118.5 OpenSSL Security Bug - Heartbleed / CVE-2014-0160. [2014-05-12]. (原始內容存檔於2014-05-28).
- ^ Recent Version History. WinSCP. 2014-04-14 [2014-05-02]. (原始內容存檔於2014-04-27).
- ^ Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed". VMware, Inc. [2014-04-17]. (原始內容存檔於2014-04-16).
- ^ DSA-2896-1 openssl—security update. The Debian Project. 2014-04-07. (原始內容存檔於2014-04-11).
- ^ Ubuntu Security Notice USN-2165-1. Canonical, Ltd. 2014-04-07 [2014-04-17]. (原始內容存檔於2014-04-13).
- ^ Important: openssl security update. Red Hat, Inc. 2014-04-08. (原始內容存檔於2014-04-18).
- ^ Karanbir Singh's posting to CentOS-announce. centos.org. 2014-04-08. (原始內容存檔於2014-04-14).
- ^ Amazon Linux AMI Security Advisory: ALAS-2014-320. Amazon Web Services, Inc. 2014-04-07 [2014-04-17]. (原始內容存檔於2014-06-06).
- ^ Android 4.1.1 devices vulnerable to Heartbleed bug, says Google. NDTV Convergence. 2014-04-14. (原始內容存檔於2014-04-20).
- ^ Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug. Fox News. 2014-04-17. (原始內容存檔於2014-04-19).
- ^ Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected. BGR Media. 2014-04-16. (原始內容存檔於2016-10-22).
- ^ Blaich, Andrew. Heartbleed Bug Impacts Mobile Devices. Bluebox. 2014-04-08. (原始內容存檔於2014-05-06).。
- ^ Snell, Jason. Apple releases Heartbleed fix for AirPort Base Stations. Macworld. 2014-04-22. (原始內容存檔於2014-04-25).
- ^ Kleinman, Alexis. The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do. The Huffington Post. 2014-04-11. (原始內容存檔於2014-04-12).
- ^ 132.0 132.1 Yadron, Danny. Heartbleed Bug Found in Cisco Routers, Juniper Gear. Dow Jones & Company, Inc. 2014-04-10. (原始內容存檔於2014-04-15).
- ^ 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160). Juniper Networks. 2014-04-14. (原始內容存檔於2014-04-16).
- ^ IPCop 2.1.4 is released. IPCop. 2014-04-08 [2014-04-11]. 139697815506679. (原始內容存檔於2020-05-16).
- ^ OpenSSL "Heartbleed" Information Disclosure, ECDSA. pfSense. 2014-04-08 [2014-05-02]. (原始內容存檔於2014-05-02).
- ^ Heartbleed Bug Issue. Western Digital. 2014-04-10. (原始內容存檔於2014-04-19).
- ^ Brewster, Tom. Heartbleed: 95% of detection tools 'flawed', claim researchers. The Guardian. Guardian News and Media Limited. 2014-04-16. (原始內容存檔於2014-10-21).
- ^ Tripwire SecureScan. Tripwire - Take Control of IT Security and Regulatory Compliance with Tripwire Software. [2014-10-07]. (原始內容存檔於2014-04-16).
- ^ AppCheck - static binary scan, from Codenomicon. [2014-10-07]. (原始內容存檔於2014-10-17).
- ^ Arbor Network's Pravail Security Analytics. Arbor Network. [2014-10-07]. (原始內容存檔於2014-04-11).
- ^ Norton Safeweb Heartbleed Check Tool. [2014-10-07]. (原始內容存檔於2014-10-10).
- ^ Heartbleed OpenSSL extension testing tool, CVE-2014-0160. Possible.lv. [2014-04-11]. (原始內容存檔於2014-04-11).
- ^ Test your server for Heartbleed (CVE-2014-0160). [2014-11-25]. (原始內容存檔於2014-11-25).
- ^ Cyberoam Security Center. [2014-11-25]. (原始內容存檔於2014-04-15).
- ^ Critical Watch :: Heartbleed Tester :: CVE-2014-0160. Heartbleed.criticalwatch.com. [2014-04-14]. (原始內容存檔於2014-04-14).
- ^ metasploit-framework/openssl_heartbleed.rb at master. [2014-11-25]. (原始內容存檔於2015-06-28).
- ^ OpenSSL Heartbeat Vulnerability Check (Heartbleed Checker). [2014-11-25]. (原始內容存檔於2014-12-24).
- ^ Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App. Lookout手機安全公司部落格. 2014-04-09 [2014-04-10]. (原始內容存檔於2014-04-13).
- ^ Heartbleed checker. LastPass. [2014-04-11]. (原始內容存檔於2014-04-10).
- ^ OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools. Pentest-tools.com. [2014-04-11]. (原始內容存檔於2014-04-13).
- ^ Stafford, Jared. heartbleed-poc.py. Red Hat, Inc. 2014-04-14. (原始內容存檔於2014-04-12).
- ^ Qualys's SSL Labs' SSL Server Test. [2014-10-07]. (原始內容存檔於2014-10-07).
- ^ Chromebleed. [2014-10-07]. (原始內容存檔於2014-10-18).
- ^ FoxBleed. [2014-10-07]. (原始內容存檔於2014-10-12).
- ^ SSL Diagnos. SourceForge. [2014-10-07]. (原始內容存檔於2014-10-12).
- ^ CrowdStrike Heartbleed Scanner. [2014-10-07]. (原始內容存檔於2014-10-11).
- ^ Lynn, Samara. Routers, SMB Networking Equipment - Is Your Networking Device Affected by Heartbleed?. PCMag.com. [2014-04-24]. (原始內容存檔於2014-04-24).
- ^ Netcraft Site Report. [2014-10-07]. (原始內容存檔於2014-08-17).
- ^ Netcraft Extensions. [2014-10-07]. (原始內容存檔於2014-10-11).
- ^ Mutton, Paul. Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera. Netcraft. 2014-06-24. (原始內容存檔於2014-07-11).
- ^ Mann, Jeffrey. Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service. Tenable Network Security. 2014-04-09. (原始內容存檔於2014-04-13).
- ^ Nmap 6.45 Informal Release. 2014-04-12. (原始內容存檔於2014-04-17).
- ^ VRT: Heartbleed Memory Disclosure – Upgrade OpenSSL Now!. 2014-04-08. (原始內容存檔於2014-04-11).
- ^ Blogs | How to Detect a Prior Heartbleed Exploit. Riverbed. 2014-04-09. (原始內容存檔於2014-04-19).
- ^ Patched Servers Remain Vulnerable to Heartbleed OpenSSL | Hayden James. Haydenjames.io. [2014-04-10]. (原始內容存檔於2014-04-13).
- ^ Security Certificate Revocation Awareness – Specific Implementations. Gibson Research Corporation. [2014-06-07]. (原始內容存檔於2014-05-12).
- ^ Sean Michael Kerner. Heartbleed SSL Flaw's True Cost Will Take Time to Tally. eWEEK. 2014-04-19 [2015-01-10]. (原始內容存檔於2021-01-18).
- ^ 168.0 168.1 168.2 168.3 A. Wheeler, David. How to Prevent the next Heartbleed. 2014-04-29. (原始內容存檔於2014-12-25).
- ^ Merkel, Robert. How the Heartbleed bug reveals a flaw in online security. The Conversation. 2014-04-11. (原始內容存檔於2014-04-17).
- ^ Embedded System Security with Rust: Case Study of Heartbleed. blog.getreu.net. [2019-03-19]. (原始內容存檔於2019-09-04).
- ^ MesaLink is a memory-safe and OpenSSL-compatible TLS library.: mesalock-linux/mesalink, MesaLock Linux, 2019-03-18 [2019-03-19], (原始內容存檔於2021-01-03)
- ^ Re: FYA: http: heartbleed.com. Gmane. [2014-04-11]. (原始內容存檔於2014-04-11).
- ^ Theo De Raadt's Small Rant On OpenSSL. Slashdot. Dice. 2014-04-10. (原始內容存檔於2014-04-24).
- ^ OpenBSD has started a massive strip-down and cleanup of OpenSSL. OpenBSD journal. 2014-04-15. (原始內容存檔於2014-07-01).
- ^ Lia Timson. Who is Robin Seggelmann and did his Heartbleed break the internet?. The Sydney Morning Herald. 2014-04-11. (原始內容存檔於2014-04-11).
- ^ Williams, Chris. OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts. The Register. 2014-04-11. (原始內容存檔於2016-09-19).
- ^ Smith, Gerry. How The Internet's Worst Nightmare Could Have Been Avoided. The Huffington Post. 2014-04-10. (原始內容存檔於2014-04-27).
The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit, according to Laurie, who works on the security team at Google.(據谷歌安全團隊的勞里說,這星期發現的漏洞隱藏在10行代碼中,本可以通過審查發現。)
- ^ John Walsh. Free Can Make You Bleed. ssh communications security. 2014-04-30 [2016-09-11]. (原始內容存檔於2016-12-02).
- ^ Walsh, John. Free Can Make You Bleed. SSH Communications Security. 2014-04-30. (原始內容存檔於2014-05-05).
- ^ Seltzer, Larry. OpenBSD forks, prunes, fixes OpenSSL. Zero Day. ZDNet. 2014-04-21 [2014-04-21]. (原始內容存檔於2014-04-21).
- ^ Pagliery, Jose. Your Internet security relies on a few volunteers. CNNMoney. Cable News Network. 2014-04-18. (原始內容存檔於2014-04-23).
- ^ 182.0 182.1 182.2 Perlroth, Nicole. Heartbleed Highlights a Contradiction in the Web. The New York Times (The New York Times Company). 2014-04-18. (原始內容存檔於2014-05-08).
- ^ Kaminsky, Dan. Be Still My Breaking Heart. Dan Kaminsky's Blog. 2014-04-10. (原始內容存檔於2014-04-14).
- ^ Chiusano, Paul. The failed economics of our software commons, and what you can about it right now. Paul Chiusano's blog. 2014-12-08. (原始內容存檔於2014-12-09).
- ^ 185.0 185.1 Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects. The Linux Foundation. 2014-04-24. (原始內容存檔於2014-04-25).
- ^ Paul, Ian. In Heartbleed's wake, tech titans launch fund for crucial open-source projects. PCWorld. 2014-04-24. (原始內容存檔於2014-04-25).
- ^ Google Project Zero aims to keep the Heartbleed Bug from happening again. TechRadar. [2017-04-09]. (原始內容存檔於2017-04-10) (英語).
延伸閱讀
編輯- Durumeric, Zakir; et al. The Matter of Heartbleed. Proceedings of the 2014 Conference on Internet Measurement Conference. 2014: 475–488. doi:10.1145/2663716.2663755.
外部連結
編輯- 漏洞摘要及常見問題 (頁面存檔備份,存於網際網路檔案館),由Codenomicon公司設立
- 提供給加拿大組織和個人的資訊