心臟出血漏洞

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書
心臟出血漏洞
心臟出血漏洞的標誌。安全公司Codenomicon為其制定了名稱,設計了標誌,加深了公眾對此問題的印象。[1][2]
CVE標識符CVE-2014-0160
發布日期2012年2月1日,​12年前​(2012-02-01
發現日期2014年4月1日,​10年前​(2014-04-01
補丁發布日期2014年4月7日,​10年前​(2014-04-07
發現者尼爾·梅塔
受影響軟件OpenSSL (1.0.1)
網站heartbleed.com

心臟出血漏洞(英語:Heartbleed bug),簡稱為心血漏洞,是一個出現在加密程序庫OpenSSL安全漏洞,該程序庫廣泛用於實現互聯網的傳輸層安全(TLS)協議。它於2012年被引入了OpenSSL中,2014年4月首次向公眾披露。只要使用的是存在缺陷的OpenSSL實例,無論是服務器還是客戶端,都可能因此而受到攻擊。此問題的原因是在實現TLS的心跳擴展時沒有對輸入進行適當驗證(缺少邊界檢查[3],因此漏洞的名稱來源於「心跳」(heartbeat)[4]。該程序錯誤屬於緩衝區過讀[5],即可以讀取的數據比應該允許讀取的還多[6]

心臟出血在通用漏洞披露(CVE)系統中的編號為CVE-2014-0160[5]加拿大網絡事故響應中心英語Canadian Cyber Incident Response Centre發布安全公告,提醒系統管理員注意漏洞[7]。2014年4月7日,即漏洞公開披露的同一天,OpenSSL發布了修復後的版本。

截至2014年5月20日 (2014-05-20),在80萬最熱門的啟用TLS的網站中,仍有1.5%易受心臟出血漏洞的攻擊。[8]

因為缺陷在於OpenSSL的實現,而不是SSL/TLS協議本身,所以除了OpenSSL之外的其他TLS實現方式,如GnuTLSMozilla網絡安全服務(NSS)和Windows平台的TLS實現都不受影響[9]

歷史[編輯]

2012年2月,傳輸層安全(TLS)和數據報傳輸層安全(DTLS)協議的心跳擴展成為了標準,是為RFC 6520[10]。它提供了一種無需每次都重新協商連接,就能測試和保持安全通信鏈路的方式。2011年,RFC的作者之一,當時杜伊斯堡-埃森大學的博士生羅賓·賽格爾曼(Robin Seggelmann)為OpenSSL實現了心跳擴展。賽格爾曼向OpenSSL發出的推送請求之後[11][12][13],他的更改由OpenSSL四位核心開發者之一的斯蒂芬·N·漢森(Stephen N. Henson)審核。漢森未能注意到賽格爾曼實現中的錯誤,於2011年12月31日將有缺陷的代碼加入了OpenSSL的源代碼庫。2012年3月14日,OpenSSL 1.0.1版發布,漏洞開始傳播。心跳支持默認是啟用的,這使受影響的版本易受攻擊[14][15][16]

發現[編輯]

根據OpenSSL的馬克·J·考克斯(Mark J. Cox)的說法,谷歌安全團隊的尼爾·梅塔(Neel Mehta)於2014年4月1日11:09 UTC報告了心臟出血漏洞[17]

該漏洞由芬蘭網絡安全公司Codenomicon的工程師命名,該公司也設計了心臟出血標誌,並設立了網站heartbleed.com向公眾解釋該錯誤[18]。雖然谷歌的安全團隊首先向OpenSSL發送了報告,但谷歌和Codenomicon幾乎在同一時間分別獨立地發現了這個漏洞[19][14][20]。Codenomicon稱它於2014年4月3日發現並通知了NCSC-FI以進行漏洞協調[14][21]

據信在漏洞披露時,約有17%(大約五十萬)通過認證機構認證的互聯網安全網絡服務器容易受到攻擊,導致服務器私鑰和用戶會話cookie及密碼被盜[22][23][24][25][26]電子前哨基金會[27]Ars Technica[28]布魯斯·施奈爾[29]均認為心臟出血漏洞是「災難性的」。福布斯網絡安全專欄作家約瑟夫·斯坦伯格英語Joseph Steinberg寫道:

有些人認為,至少就其潛在影響而言,「心臟出血」是自互聯網商用以來所發現的最嚴重的漏洞。[30]

英國內閣發言人建議:

人們應該按照網站建議更改他們所訪問網站的密碼。 大多數網站已經修復了漏洞,人們聽從網站建議,從而決定是否採取行動以及採取什麼行動,再合適不過了。[31]

漏洞披露當日,Tor項目在其博客發布公告,建議

如果您在互聯網上需要高度的匿名或隱私,在接下來的幾天裡應該完全遠離互聯網,直到問題解決。[32]

雪梨晨鋒報於2014年4月15日刊登了事件的時間軸,其中可見一些組織在其公開披露之前就已經修補了漏洞,其中有些組織不清楚他們是如何得知這一消息的[33]

錯誤修正及部署[編輯]

博德·默勒(Bodo Moeller)和谷歌的亞當·蘭利(Adam Langley)完成了心臟出血漏洞的修補程序。由此產生的補丁於2014年3月21日加入到了Red Hat的問題跟蹤系統中[34]。4月7日,斯蒂芬·N·漢森在OpenSSL版本控制系統中應用了修補程序[35]。第一個修復後的版本1.0.1g於同一天發布。截至2014年6月21日 (2014-06-21),309,197台公共網絡服務器仍存在漏洞[36]

證書的更新及撤銷[編輯]

根據Netcraft英語Netcraft的說法,截至2014年4月11日 (2014-04-11),在超過50萬張可能已因心臟出血漏洞而失密的X.509證書中,約3萬張已經補發,撤銷的並不多。[37]

截至2014年5月9日 (2014-05-09),僅有43%的受影響網站重發了自己的安全證書。此外,在重發的安全證書中,有7%使用了可能已泄露的密鑰。Netcraft稱:

若重複使用密鑰,較之尚未更換SSL證書的網站,這些曾受心臟出血漏洞影響的網站面臨的風險仍與之前一模一樣。[38]

每周電腦報對此評論,心臟出血漏洞是「可能持續數月,甚至是數年的危險」[39]

利用[編輯]

加拿大稅務局(CRA)稱,900納稅人的社會保險號碼英語Social insurance number遭竊,並表示在2014年4月8日的6個小時內,有人利用了該漏洞得到了這些數據[40]。在發現攻擊後,該機構關閉了網站,並將納稅人的申報期限從4月30日延長至了5月5日[41]。該機構表示,將向任何受影響的人提供信譽保障服務,不收取任何費用。4月16日,皇家加拿大騎警宣布,他們已掌握了一名與該盜竊有關的工程學學生信息,並指控其「未經授權使用計算機」及「有關數據的惡作劇」[42][43]

英國育兒網站Mumsnet英語Mumsnet發現部分用戶帳戶被劫持,CEO被假冒[44]。該網站後發表事件聲明,稱其是由心臟出血漏洞所導致,且技術人員已將其及時修復[45]

反惡意軟件研究人員還利用了該漏洞,訪問了網絡罪犯的秘密論壇[46]。研究人員還特意設立了存在漏洞的機器以進行研究。例如,在2014年4月12日,至少有兩位獨立研究人員成功竊取了CloudFlare為此而設立的實驗服務器的私鑰[47][48]。此外,在2014年4月15日,密歇根大學教授J·亞歷克斯·黑爾德曼英語J. Alex Halderman稱,他的蜜罐服務器(旨在吸引並研究攻擊的刻意留有漏洞的服務器)遭到了無數來自中國的攻擊。黑爾德曼得出結論,因為這個服務器相當不起眼,這些很可能是大範圍影響互聯網的橫掃攻擊[49]

2014年8月報道稱,黑客利用心臟出血漏洞,竊取了美國第二大營利性連鎖醫院機構社群衛生系統英語Community Health Systems的安全密鑰,導致450萬份病人病歷泄密。入侵發生在該漏洞首次公布後一星期[50]

事先可能的了解及利用[編輯]

在公布後數日,許多大型網站修補了漏洞,或禁用了心跳擴展[51],但不清楚是否潛在攻擊者早就意識到了這一點,及利用程度幾何。

研究人員在檢查審核日誌後認為,至少在發現和公布的5個月前,一些攻擊者可能已經利用了這個漏洞[52][53]。不過Errata Security指出,於漏洞公開的六個月前發布並廣泛使用的非惡意程序「Masscan」,會像漏洞所表現的那樣,於握手時突然終止連接,從而生成相同的服務器日誌消息。該公司還表示:「兩樣會產生相同錯誤消息的新東西看起來可能是有關連的,但當然,其實他們並不相關。」[54]

彭博新聞社,二位不願透露姓名的內部人士稱,美國國家安全局(NSA)在漏洞出現後不久就知道了它的存在,但卻沒有公布,而是將其作為零日漏洞予以保密,以便能為己所用[55][56][57]。NSA否認了這一說法[58]美國國家情報和通信技術審議小組英語Director of National Intelligence Review Group on Intelligence and Communications Technologies理查德·A·克拉克英語Richard A. Clarke也予以否認,該小組負責審查美國的電子監控政策。2014年4月11日,克拉克向路透社表示,NSA之前並不知道該漏洞[59]。有關指控促使美國政府首次就其零日漏洞政策發表公開聲明,接受審查小組2013年的報告中所提的建議,「在幾乎所有的情況,消除廣泛使用的軟件代碼中的漏洞比起利用它們進行情報搜集更符合美國的國家利益」,並稱保密漏洞的權力將由NSA轉移到白宮[60]

表現[編輯]

漏洞的解釋

RFC 6520心跳擴展定義了一種測試TLS/DTLS安全通信鏈路的方法,允許連接一端的計算機發送「心跳請求」消息,消息包含有效載荷(通常是文本字符串),附帶有效載荷的長度(用16位整數表示)。隨後,接收方計算機必須發送完全相同的有效載荷以返回給發送方。

受影響的OpenSSL版本根據請求消息中的長度字段分配內存緩衝區,用於存儲要返回的消息,而不考慮消息中有效載荷的實際長度。因為缺少邊界檢查,返回的消息不僅包括有效載荷,還可能含有其他恰巧在已分配緩衝區中的消息。

因此,通過構造出載荷短、長度字段中的數值卻很大的請求,向存在缺陷的一方(通常是服務器)發送畸形心跳包,利用心臟出血漏洞,引起受害者的回應,這樣,攻擊者便可讀取到受害者內存中至多64千字節的信息,而這塊區域先前OpenSSL有可能已經使用過[61]。例如,正常的心跳請求可能會要求一方「返回4個字符的單詞『bird』」,那一方就返回「bird」;「心臟出血請求」(惡意的心跳請求)如「返回500個字符的單詞『bird』」會導致受害者返回「bird」,緊接着是恰儲存在受害者活躍內存中的496個字符。這樣,攻擊者便可能會收到敏感數據,從而危及受害者其它安全通信的保密性。雖然攻擊者能對返回的內存塊大小有所控制,但卻無法決定它的位置,因而不能指定要顯示內容。

受影響的OpenSSL實例[編輯]

受影響的OpenSSL版本為1.0.1至1.0.1f(含)。較新版本(1.0.1g[62]以上)及先前版本(1.0.0分支以前)不受影響[63]。受影響的版本實例均存在缺陷,除非在OpenSSL編譯時加上-DOPENSSL_NO_HEARTBEATS[64][65]

存在缺陷的程序和函數[編輯]

存在缺陷的程序的源文件為t1_lib.c及d1_both.c,而存在缺陷的函數為tls1_process_heartbeat()及dtls1_process_heartbeat()。[66][67]

補丁[編輯]

可通過忽略要求了比負載更多的數據的心跳請求消息來修復此問題。

OpenSSL版本1.0.1g增加了一些邊界檢查,以防止過度讀取緩衝區。例如,已添加了下列測試,以丟棄將引發心臟出血漏洞的心跳請求,以防產生回覆: 

if (1 + 2 + payload + 16 > s->s3->rrec.length) return 0; /* silently discard per RFC 6520 sec. 4 */

版本控制系統有完整的更改列表。[35]

影響[編輯]

經由心臟出血漏洞發動攻擊,獲得的數據可能包括TLS雙方將要交換、但尚未加密的機密內容,包括在用戶請求中各種格式的post數據。此外,泄漏的數據還可能含有身份驗證密令,如會話cookie及密碼,可使攻擊者向該服務冒充此用戶。[68]

攻擊還可能泄漏受攻擊雙方的私鑰[14][16][69],這將使攻擊者能解密通信內容(將來或是之前通過被動竊聽捕獲而存儲的通信,除非使用完全正向保密,而在這種情況下,只能解密將來通過中間人攻擊截獲的通信)。

即使漏洞修復之後,獲得受害者認證資料的攻擊者仍能偽裝成資料的擁有者,只要該資料能被接受(例如,在更改密碼或撤銷私鑰之前)。因此,漏洞對保密性構成了致命威脅。然而,冒充受害人的攻擊者也能修改數據,所以間接的後果可能不只是系統機密泄漏那麼簡單。[70]

一項於2014年4月對美國成人進行的調查顯示,60%的人聽說過心臟出血漏洞。使用互聯網的受訪者中有39%的人採取了行動以保護他們的在線賬戶,如更改密碼或註銷賬戶;29%的人認為他們的個人信息因漏洞而處於危險之中;6%的人認為他們的個人信息已遭竊取。[71]

客戶端漏洞[編輯]

雖然該漏洞更多因其對服務器的威脅而受關注[72],使用受影響OpenSSL實例的TLS客戶端也易受攻擊。惡意服務器能利用該漏洞從易受攻擊的客戶端的內存中讀取數據,這就是衛報所稱的「逆向心臟出血漏洞」[73]。安全研究員史蒂夫·吉布森(Steve Gibson)在談及該漏洞時稱,

它不只是服務器端的漏洞,它也是客戶端的漏洞,因為服務器、或你連接的任何人,都能向你請求心跳包,正如你能向他們請求一樣。[74]

失竊數據可能包含用戶名和密碼[75]。逆向心臟出血漏洞影響了數以百萬計的應用實例[73]。部分易受攻擊的應用程序列於下面的「應用軟件」一節中

具體受影響的系統[編輯]

思科系統已確認其下78種產品存在缺陷,包括IP電話系統和網真(視頻會議)系統。[76]

網站及其它在線服務[編輯]

泄露的IFTTT用戶信息

2014年4月8日,GitHub上有一項對訪問量最大的網站的分析,發現受影響的網站包括雅虎ImgurStack OverflowSlateDuckDuckGo[77][78]。下列網站已發布公告,因受漏洞影響,建議用戶更改密碼:

加拿大聯邦政府出於漏洞的安全考慮,暫時關閉了加拿大稅務局(CRA)及多個政府部門的在線服務[103][104]

平台維護者(如維基媒體基金會)建議他們的用戶更改密碼[100]

LastPass的服務器存在缺陷[105],但因額外的加密及正向安全,潛在的攻擊者無法利用此漏洞。不過LastPass仍建議用戶修改所有受影響網站賬戶的密碼[106]

Tor項目建議中繼和隱蔽服務的運行者在修補OpenSSL後,應撤銷並生成新密鑰,但同時指出,兩套Tor中繼密鑰及多跳設計最大限度地減少了單一中繼遭竊取所造成的影響[32]。作為預防措施,隨後發現存在漏洞的586個中繼被強制下線[107][108][109][110]

包括Steam我的世界戰遊網英雄聯盟GOG.comOrigin索尼線上娛樂Humble Bundle流亡黯道在內的遊戲受到影響,隨後得到修復[111]

應用軟件[編輯]

存在缺陷的應用軟件包括:

其他幾個甲骨文公司的應用程序受到影響。[118]

操作系統/固件[編輯]

若干GNU/Linux發行版都受到了影響,包括Debian[121](及其衍生版,如Linux MintUbuntu[122])和Red Hat Enterprise Linux[123](及其衍生版,如CentOS[124]Oracle Linux 6[118]Amazon Linux英語Amazon Linux[125]),還有下列操作系統及固件:

漏洞檢測服務[編輯]

一些網站推出了測試,檢測給定的網站上是否存在心臟出血漏洞。然而,據稱許多這種測試都不是很有效[137]。可用的工具包括:

  • Tripwire SecureScan[138]
  • AppCheck——靜態二進制文件掃描,來自Codenomicon[139]
  • Arbor Network的Pravail Security Analytics[140]
  • Norton Safeweb心臟出血測試工具[141]
  • 歐洲IT安全公司的心臟出血測試工具[142]
  • 心臟出血掃描器,來自意大利信息安全專家菲利普·瓦爾索達(Filippo Valsorda)[143]
  • Cyberoam英語Cyberoam的心臟出血測試[144]
  • Critical Watch免費在線心臟出血測試器[145]
  • Metasploit心臟出血掃描模塊[146]
  • Rehmann的心臟出血服務器掃描[147]
  • Lookout手機安全公司英語Lookout Mobile Security心臟出血探測器,一個用於安卓設備的應用程序,可確定設備使用的OpenSSL版本,並指出是否啟用了有缺陷的心跳特性[148]
  • LastPass的心臟出血檢查器[149]
  • Pentest-Tools.com的在線心臟出血漏洞網絡範圍掃描器[150]
  • 以Python語言寫成的紅帽公司官方離線掃描器[151]
  • Qualys英語Qualys SSL實驗室的SSL服務器測試[152],不僅能查找心臟出血漏洞,還能找到其他SSL/TLS實現中的錯誤。
  • 瀏覽器擴展,如Chromebleed[153]和FoxBleed[154]
  • SSL Diagnos[155]
  • CrowdStrike心臟出血掃描器[156] - 掃描路由器、打印機及其他連接到網絡的設備,包括Intranet網站。[157]
  • Netcraft英語Netcraft網站報告[158] - 基於Netcraft的SSL調查數據,確定網站在漏洞公開之前是否提供了TLS心跳擴展,以此指出網站的保密性是否受到危害。Netcraft的Chrome、Firefox和Opera[159]也能進行同樣的檢查,同時尋找可能已失密的證書[160]

其他安全工具添加了相應功能,以查找此漏洞。例如,Tenable Network Security英語Tenable Network Security為其Nessus漏洞掃描器寫了插件,以掃描出此問題[161]Nmap安全掃描器自6.45版本起包含了心臟出血檢測腳本[162]

Sourcefire英語Sourcefire已經發布了Snort規則,以檢測心臟出血攻擊流量和可能的心臟出血響應流量[163]。開源數據包分析軟件,如Wiresharktcpdump,使用特定的BPF數據包過濾器,將其作用於捕獲並存儲的數據包和實時流量上,可以識別出心臟出血包[164]

補救[編輯]

通過將OpenSSL更新到已修補的版本(1.0.1g或更高版本),可以解決心臟出血漏洞。OpenSSL可以用作獨立程序、動態共享對象靜態鏈接庫,因此,更新可能需要重新啟動加載了OpenSSL易受攻擊版本的進程,及重新鏈接靜態鏈接它的程序和庫。實際上,這意味着更新靜態鏈接OpenSSL的軟件包,並重新啟動正在運行的程序,以刪除內存中舊的、易受攻擊的OpenSSL代碼副本。

在漏洞修復後,服務器管理員必須解決保密數據可能泄漏的問題。因為心臟出血允許攻擊者得到私鑰,所以必須認為這些密鑰已泄密。須重新生成密鑰對,使用它們的證書也要重新簽發,並且吊銷舊證書。心臟出血也有可能會泄漏其他在內存中的保密數據,因此,其他認證材料(如密碼)也應該重新生成。很難確定受影響的系統是否沒有受到損害,或者某個特定信息是否已被泄露。[165]

瀏覽器安全證書吊銷感知[編輯]

由於漏洞威脅着私鑰的安全,即使是在漏洞已修復、先前的證書已吊銷後,如果受攻擊網站的用戶所使用的瀏覽器無法發現證書已吊銷,漏洞仍會對他們有影響。安全證書吊銷感知測試雖不測試系統是否存在心臟出血漏洞,但讓用戶測試他們的網頁瀏覽器,在網站使用的證書已吊銷的情況下,是否允許繼續訪問[166]。因此,修復此漏洞,用戶還需要更新瀏覽器,確保具有最新的證書吊銷列表(或OCSP支持)及證書吊銷功能。

根本原因、可能的教訓及回應[編輯]

漏洞造成的損失難以評估,不過據eWEEK英語eWeek估計至少為5億美元[167]

戴維·A·惠勒英語David A. Wheeler在論文《如何防止下一個心臟出血漏洞》中分析了為什麼沒能更早發現漏洞,並且提出了幾種可能能更快識別漏洞,以及減小其影響的方法。據惠勒所言,要防止心臟出血漏洞,最有效的方法是用一套非典型的測試套件徹底執行他所說的「負面測試」,即測試無效的輸入是否會導致程序失敗,而非成功。惠勒強調,應有一套通用的測試套件以作為所有TLS實現的基礎[168]

The Conversation上羅伯特·默克爾(Robert Merkel)的文章,心臟出血漏洞揭示了「風險分析上的巨大失敗」。默克爾認為,OpenSSL注重性能,而不是安全,在他看來這毫無意義。但他認為,與其指責OpenSSL還不如指責它的用戶,他們選擇使用OpenSSL卻並未提供資金以進行更好的審查和測試。他解釋道,有兩方面因素決定了將來還有出現類似安全漏洞的風險。首先,程序庫的源代碼會影響寫出有類似影響漏洞的可能。默克爾提到,使用C語言就是一個有利於此種漏洞出現的危險因素,這與惠勒的分析一致。其次,OpenSSL的貢獻流程會影響能快速修復錯誤的機率[168][169]

塔林理工大學的簡思·格特魯(Jens Getreu)在他的文章中提到,如果OpenSSL使用保證內存安全的Rust語言開發,那麼心臟出血漏洞本來是可以避免的[170]。百度則使用Rust語言實現了MesaLink TLS項目;MesaLink提供和OpenSSL兼容的API,從而可以在cURL等項目中替換OpenSSL[171]

西奧·德·若特OpenBSDOpenSSH項目的創始人和領導者,就同一方面批評OpenSSL的開發人員編寫自己的內存管理程序,如他所說的那樣,這就繞過了OpenBSD C標準函數庫對漏洞的防範,他說「OpenSSL是由一個不負責任的團隊開發的。」[172][173]繼心臟出血漏洞披露之後,OpenBSD項目的成員從OpenSSL復刻出了LibreSSL[174]

修改程序而導致該漏洞的程序員羅賓·賽格爾曼[175]聲稱自己「忽略掉了對長度變量的驗證」,並否認提交有缺陷的實現是刻意為之[11]。在漏洞公開後,賽格爾曼就另一方面提出了建議,指出OpenSSL沒有經過足夠多的人的審查。[176]雖然他的工作經過了OpenSSL核心開發人員的審查,審查的目的卻主要是驗證功能的改進是否正確,這會使漏洞更容易放過[168]

OpenSSL核心開發者本·勞里英語Ben Laurie稱,OpenSSL的安全審查本可以發現心臟出血漏洞[177]。軟件工程師約翰·沃爾什(John Walsh)評論道:

想想看,OpenSSL僅有兩名(全職)雇員,卻要編寫、維護、測試、審查50萬行的關鍵業務代碼。[178]

OpenSSL基金會主席史蒂夫·馬奎斯(Steve Marquess)說:「奇怪之處不在於幾名超負荷工作的志願者漏過了這個錯誤;真正神奇的是這種事之前都沒有發生。」[179]戴維·A·惠勒認為通常情況下,審查是一種發現漏洞的很好方式,但他指出,「OpenSSL使用了過於複雜的結構,使它更難為人類和機器所審查。」他寫道:

在簡化代碼上應不斷努力,否則若只是添加功能,軟件的複雜度就會逐漸增加。隨着時間的推移,代碼應及時重構,使之簡潔明了,而不只是不斷地添加新功能。要達成的目標應該是讓代碼「顯然正確」,而不是使代碼變得太複雜,以至於「我看不出有什麼問題」。[168]

LibreSSL進行了大規模的代碼清理,僅在第一周內就移除了超過90000行C代碼。[180]

據安全研究人員丹·卡明斯基英語Dan Kaminsky說,心臟出血漏洞是該基金會經濟問題的徵兆,這需要解決。從發現這個在「關鍵」依賴包中一個簡單功能的簡單錯誤所花費的時間來看,卡明斯基擔心如不採取任何措施,未來還會有無數這樣的漏洞。在發現漏洞時,OpenSSL僅有少數志願者負責維護,其中只有一人將其作為全職工作[181]。每年OpenSSL項目收到的捐款大約為2000美元[182]。Codenomicon的心臟出血漏洞網站呼籲為OpenSSL項目捐款[14]。在了解到漏洞披露後的兩三天內,捐款總額為841美元後,卡明斯基說:「我們正在製造全球經濟中最重要的技術,依靠的卻是投入資金少得讓人驚訝的基礎設施。」[183]核心開發者本·勞里則認為項目資金「完全沒有着落」[182]。儘管OpenSSL軟件基金會沒有錯誤賞金計劃英語bug bounty program,但互聯網錯誤賞金計劃主動給發現心臟出血漏洞的尼爾·梅塔獎勵了15000美元,以表彰她將其披露的負責任行為[182]

保羅·基烏薩諾(Paul Chiusano)認為是軟件經濟學的失敗導致了此漏洞。[184]

面對此次危機,行業集體反應,2014年4月24日Linux基金會宣布成立核心基礎架構聯盟英語Core Infrastructure Initiative,這是一個數百萬美元的項目,能為處在全球信息基礎架構中的關鍵要素提供資金[185]。出資人包括亞馬遜、戴爾、Facebook、富士通、谷歌、IBM、英特爾、微軟、NetApp、Rackspace、VMware和Linux基金會。該聯盟旨在讓開發人員能全職在項目上工作,並且支付安全審計、硬件和軟件基礎設施,旅行及其他費用[186]。OpenSSL是該聯盟資金首位獲得者的候選人[185]

此漏洞後,谷歌成立了Project Zero尋找零日漏洞,來幫助保護網絡和社會。[187]

參考[編輯]

  1. ^ McKenzie, Patrick. What Heartbleed Can Teach The OSS Community About Marketing. Kalzumeus. 2014-04-09 [2018-02-08]. (原始內容存檔於2017-12-20). 
  2. ^ Biggs, John. Heartbleed, The First Security Bug With A Cool Logo. TechCrunch. 2014-04-09 [2018-02-08]. (原始內容存檔於2018-02-11) (英語). 
  3. ^ Security Advisory – OpenSSL Heartbleed Vulnerability. Cyberoam. 2014-04-11 [2018-02-08]. (原始內容存檔於2018-02-08). 
  4. ^ Limer, Eric. How Heartbleed Works: The Code Behind the Internet's Security Nightmare. 2014-04-09 [2014-11-24]. (原始內容存檔於2014-11-11). 
  5. ^ 5.0 5.1 CVE-2014-0160. Common Vulnerabilities and Exposures. Mitre. [2018-02-08]. (原始內容存檔於2018-01-24) (英語). 
  6. ^ CWE-126: Buffer Over-read (3.0). Common Vulnerabilities and Exposures. Mitre. 2018-01-18 [2018-02-08]. (原始內容存檔於2018-02-08) (英語). 
  7. ^ AL14-005: OpenSSL Heartbleed Vulnerability. Cyber Security Bulletins. Public Safety Canada. 2014-04-11 [2018-02-08]. (原始內容存檔於2018-02-08) (英語). 
  8. ^ Leyden, John. AVG on Heartbleed: It's dangerous to go alone. Take this (an AVG tool). The Register. 2014-05-20 [2018-02-08]. (原始內容存檔於2018-01-23) (英語). 
  9. ^ Pretorius, Tracey. Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability. Microsoft. 2014-04-10 [2018-02-08]. (原始內容存檔於2018-02-08) (美國英語). 
  10. ^ Seggelmann, Robin; Tuexen, Michael; Williams, Michael. Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension. IETF. 2012-02 [2018-02-08]. doi:10.17487/RFC6520. RFC 6520. ISSN 2070-1721. 
  11. ^ 11.0 11.1 Grubb, Ben. Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately. The Sydney Morning Herald. 2014-04-11. (原始內容存檔於2014-04-12). 
  12. ^ #2658: [PATCH] Add TLS/DTLS Heartbeats. OpenSSL. 2011. (原始內容存檔於2017-08-08). 
  13. ^ Meet the man who created the bug that almost broke the Internet. Globe and Mail. 2014-04-11. (原始內容存檔於2018-01-04). 
  14. ^ 14.0 14.1 14.2 14.3 14.4 Heartbleed Bug. 2014-04-08 [2014-04-10]. (原始內容存檔於2014-04-07). 
  15. ^ Goodin, Dan. Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping. Ars Technica. 2014-04-08. (原始內容存檔於2017-12-30). 
  16. ^ 16.0 16.1 Bar-El, Hagai. OpenSSL "Heartbleed" bug: what's at risk on the server and what is not. 2014-04-09. (原始內容存檔於2014-04-13). 
  17. ^ Mark J Cox – #Heartbleed. [2014-04-12]. (原始內容存檔於2014-04-16). 
  18. ^ Dewey, Caitlin. Why is it called the 'Heartbleed Bug'?. [2014-11-25]. (原始內容存檔於2014-10-09). 
  19. ^ Lee, Timothy B. Who discovered the vulnerability?. Vox. 2014-04-10 [2017-12-04]. (原始內容存檔於2017-12-05) (英語). 
  20. ^ Lee, Ariana. How Codenomicon Found The Heartbleed Bug Now Plaguing The Internet - ReadWrite. ReadWrite. 2014-04-13 [2017-12-04]. (原始內容存檔於2017-09-05) (美國英語). Discovered independently by Google engineer Neel Mehta and the Finnish security firm Codenomicon, Heartbleed has been called 「one of the most serious security problems to ever affect the modern web.」(由谷歌工程師尼爾·梅塔和芬蘭安全公司Codenomicon獨立發現,心臟出血被稱為「影響現代網絡的最嚴重的安全問題之一」。) 
  21. ^ Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä – transl/Finnish researchers found a serious leakage of the heart of the Internet. 2014-04-10 [2014-04-13]. (原始內容存檔於2014-11-04). 
  22. ^ Mutton, Paul. Half a million widely trusted websites vulnerable to Heartbleed bug. Netcraft Ltd. 2014-04-08 [2014-11-24]. (原始內容存檔於2014年11月19日). 
  23. ^ Perlroth, Nicole; Hardy, Quentin. Heartbleed Flaw Could Reach to Digital Devices, Experts Say. New York Times. 2014-04-11. (原始內容存檔於2018-02-25). 
  24. ^ Chen, Brian X. Q. and A. on Heartbleed: A Flaw Missed by the Masses. New York Times. 2014-04-09. (原始內容存檔於2014-04-12). 
  25. ^ Wood, Molly. Flaw Calls for Altering Passwords, Experts Say. New York Times. 2014-04-10. (原始內容存檔於2017-10-19). 
  26. ^ Manjoo, Farhad. Users' Stark Reminder: As Web Grows, It Grows Less Secure. New York Times. 2014-04-10. (原始內容存檔於2018-02-24). 
  27. ^ Zhu, Yan. Why the Web Needs Perfect Forward Secrecy More Than Ever. Electronic Frontier Foundation. 2014-04-08. (原始內容存檔於2017-12-20). 
  28. ^ Goodin, Dan. Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style. Ars Technica. 2014-04-08. (原始內容存檔於2017-07-14). 
  29. ^ Schneier on Security: Heartbleed. Schneier on Security. 2014-04-11 [2014-04-10]. (原始內容存檔於2017-12-23). 
  30. ^ Joseph Steinberg. Massive Internet Security Vulnerability – Here's What You Need To Do. Forbes. 2014-04-10. (原始內容存檔於2018-01-04). 
  31. ^ Kelion, Leo. BBC News – US government warns of Heartbleed bug danger. BBC. 2014-04-11. (原始內容存檔於2017-12-19). 
  32. ^ 32.0 32.1 OpenSSL bug CVE-2014-0160. Tor Project. 2014-04-07. (原始內容存檔於2017-07-10). 
  33. ^ Grubb, Ben, Heartbleed disclosure timeline: who knew what and when, The Sydney Morning Herald, 2014-04-14 [2014-11-25], (原始內容存檔於2014-11-25) 
  34. ^ heartbeat_fix. [2014-04-14]. (原始內容存檔於2018-11-19). 
  35. ^ 35.0 35.1 "complete list of changes" (Git – openssl.git/commitdiff). The OpenSSL Project. 2014-04-07 [2014-04-10]. (原始內容存檔於2014-04-13). 
  36. ^ Graham, Robert. 300k servers vulnerable to Heartbleed two months later. Errata Security. 2014-06-21 [2014-06-22]. (原始內容存檔於2014-06-23). 
  37. ^ Heartbleed certificate revocation tsunami yet to arrive. Netcraft. 2014-04-11 [2014-04-24]. (原始內容存檔於2014-05-29). 
  38. ^ Paul Mutton. Keys left unchanged in many Heartbleed replacement certificates!. Netcraft. 2014-05-09 [2016-09-11]. (原始內容存檔於2016年8月27日). 
  39. ^ Sean Michael Kerner. Heartbleed Still a Threat to Hundreds of Thousands of Servers. eWEEK英語eWeek. 2014-05-10 [2014-12-31]. (原始內容存檔於2014-05-11). 
  40. ^ Evans, Pete, Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC News, 2014-04-14, (原始內容存檔於2018-03-14) 某些細節位於頁面鏈接的視頻中。
  41. ^ Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug. 2014-04-14 [2014-11-04]. (原始內容存檔於2014-11-04). 
  42. ^ Thibedeau, Hannah. Heartbleed bug accused charged by RCMP after SIN breach. CBC News. 2014-04-16. (原始內容存檔於2014-10-28). 
  43. ^ Heartbleed hack case sees first arrest in Canada. BBC News. 2014-04-16. (原始內容存檔於2018-01-17). 
  44. ^ 44.0 44.1 Kelion, Leo. BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency. BBC News. 2014-04-14. (原始內容存檔於2017-11-29). 
  45. ^ Mumsnet and Heartbleed as it happened. Mumsnet. [2015-02-27]. (原始內容存檔於2017-12-29). 
  46. ^ Ward, Mark. Heartbleed used to uncover data from cyber-criminals. BBC News. 2014-04-29. (原始內容存檔於2018-01-06). 
  47. ^ Lawler, Richard. Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible. Engadget. 2014-04-11. (原始內容存檔於2017-12-29). 
  48. ^ The Heartbleed Challenge. CloudFlare. 2014. (原始內容存檔於2014-04-12). 
  49. ^ Robertson, Jordan. Hackers from China waste little time in exploiting Heartbleed. The Sydney Morning Herald. 2014-04-16. (原始內容存檔於2017-12-28). 
  50. ^ Sam Frizell. Time Magazine: Report: Devastating Heartbleed Flaw Was Used in Hospital Hack. [2014-10-07]. (原始內容存檔於2014-10-07). 
  51. ^ Cipriani, Jason. Heartbleed bug: Check which sites have been patched. CNET. 2014-04-09. (原始內容存檔於2017-12-29). 
  52. ^ Gallagher, Sean. Heartbleed vulnerability may have been exploited months before patch. Ars Technica. 2014-04-09. (原始內容存檔於2017-03-03). 
  53. ^ Eckersley, Peter. Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?. Eff.org. [2014-11-25]. (原始內容存檔於2014-11-26). 
  54. ^ Graham, Robert. No, we weren't scanning for hearbleed before April 7. Errata Security. 2014-04-09 [2014-04-11]. (原始內容存檔於2017-10-16). 
  55. ^ Riley, Michael. NSA Said to Exploit Heartbleed Bug for Intelligence for Years. Bloomberg L.P. 2014-04-12. (原始內容存檔於2014-04-11). 
  56. ^ Molina, Brett. Report: NSA exploited Heartbleed for years. USA Today. [2014-04-11]. (原始內容存檔於2014-04-11). 
  57. ^ Riley, Michael. NSA exploited Heartbleed bug for two years to gather intelligence, sources say. Financial Post. [2014-04-11]. (原始內容存檔於2014-04-11). 
  58. ^ Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence. National Security Agency. 2014-04-11 [2014-12-31]. (原始內容存檔於2017-12-27). 
  59. ^ Mark Hosenball; Will Dunham. White House, spy agencies deny NSA exploited 'Heartbleed' bug. Reuters. 2014-04-11. (原始內容存檔於2014-04-15). 
  60. ^ Zetter, Kim. U.S. Gov Insists It Doesn’t Stockpile Zero-Day Exploits to Hack Enemies. wired.com. [2014-11-25]. (原始內容存檔於2014-11-29). 
  61. ^ Hunt, Troy. Everything you need to know about the Heartbleed SSL bug. 2014-04-09 [2014-04-11]. (原始內容存檔於2014-04-11). 
  62. ^ git.openssl.org Git – openssl.git/log. git.openssl.org. [2014-11-25]. (原始內容存檔於2014-04-15). 
  63. ^ Spiceworks Community Discussions. community.spiceworks.com. [2014-04-11]. (原始內容存檔於2014-04-15). 
  64. ^ The OpenSSL Project. OpenSSL Security Advisory [07 Apr 2014]. 2014-04-07 [2014-04-10]. (原始內容存檔於2014-04-08). 
  65. ^ OpenSSL versions and vulnerability [9 April 2014]. [2014-04-09]. (原始內容存檔於2014年7月5日). 
  66. ^ Cyberoam Users Need not Bleed over Heartbleed Exploit. cyberoam.com. [2014-04-11]. (原始內容存檔於2014-04-15). 
  67. ^ tls1_process_heartbeat [9 April 2014]. [2014-04-10]. (原始內容存檔於2014年8月26日). 
  68. ^ Why Heartbleed is dangerous? Exploiting CVE-2014-0160. IPSec.pl. 2014 [2014-04-10]. (原始內容存檔於2014-04-08). 
  69. ^ John Graham-Cumming. Searching for The Prime Suspect: How Heartbleed Leaked Private Keys. CloudFlare. 2014-04-28 [2014-06-07]. (原始內容存檔於2017-12-28). 
  70. ^ Judge, Kevin. Servers Vulnerable to Heartbleed [14 July 2014]. [2014-08-25]. (原始內容存檔於2014年8月26日). 
  71. ^ Lee Rainie; Maeve Duggan. Heartbleed’s Impact. Pew Research Internet Project. Pew Research Center: 2. 2014-04-30. (原始內容存檔於2017-12-28). 
  72. ^ Bradley, Tony. Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack. PCWorld. IDG Consumer & SMB. 2014-04-14. (原始內容存檔於2016-12-02). 
  73. ^ 73.0 73.1 Charles Arthur. Heartbleed makes 50m Android phones vulnerable, data shows. The Guardian. Guardian News and Media Limited. 2014-04-15. (原始內容存檔於2017-12-29). 
  74. ^ Security Now 451. Twit.Tv. [2014-04-19]. (原始內容存檔於2014-04-19). 
  75. ^ Ramzan, Zulfikar. 'Reverse Heartbleed' can attack PCs and mobile phones. SC Magazine. Haymarket Media, Inc. 2014-04-24. (原始內容存檔於2016-10-06). 
  76. ^ 76.0 76.1 OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products. Cisco Systems. 2014-04-09. (原始內容存檔於2017-12-29). 
  77. ^ heartbleed-masstest: Overview. GitHub. [2014-04-19]. (原始內容存檔於2014-06-01). 
  78. ^ Cipriani, Jason. Which sites have patched the Heartbleed bug?. CNET. 2014-04-10 [2014-04-10]. (原始內容存檔於2014-04-11). 
  79. ^ Heartbleed FAQ: Akamai Systems Patched. Akamai Technologies. 2014-04-08. (原始內容存檔於2014-04-08). 
  80. ^ AWS Services Updated to Address OpenSSL Vulnerability. Amazon Web Services. 2014-04-08. (原始內容存檔於2014-04-11). 
  81. ^ Dear readers, please change your Ars account passwords ASAP. Ars Technica. 2014-04-08. (原始內容存檔於2017-06-16). 
  82. ^ All Heartbleed upgrades are now complete. BitBucket Blog. 2014-04-09. (原始內容存檔於2014-04-11). 
  83. ^ Keeping Your BrandVerity Account Safe from the Heartbleed Bug. BrandVerity Blog. 2014-04-09. (原始內容存檔於2014-04-11). 
  84. ^ Twitter / freenodestaff: we've had to restart a bunch.... 2014-04-08. (原始內容存檔於2014-04-14). 
  85. ^ Security: Heartbleed vulnerability. GitHub. 2014-04-08. (原始內容存檔於2014-04-10). 
  86. ^ IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed. LifeHacker. 2014-04-08. (原始內容存檔於2014-04-13). 
  87. ^ Heartbleed bug and the Archive | Internet Archive Blogs. Blog.archive.org. 2014-04-09 [2014-04-14]. 
  88. ^ Twitter / KrisJelbring: If you logged in to any of. Twitter.com. 2014-04-08 [2014-04-14]. (原始內容存檔於2014-04-14). 
  89. ^ The widespread OpenSSL ‘Heartbleed' bug is patched in PeerJ. PeerJ英語PeerJ. 2014-04-09. (原始內容存檔於2014-04-11). 
  90. ^ Was Pinterest impacted by the Heartbleed issue?. Help Center. Pinterest. [2014-04-20]. (原始內容存檔於2014-04-21). 
  91. ^ Heartbleed Defeated. [2014-04-13]. (原始內容存檔於2014-06-05). 
  92. ^ Staff. We recommend that you change your reddit password. Reddit. 2014-04-14 [2014-04-14]. (原始內容存檔於2014-04-15). 
  93. ^ IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI. [2014-04-13]. (原始內容存檔於2013-07-28). 
  94. ^ Codey, Brendan. Security Update: We're going to sign out everyone today, here's why. SoundCloud. 2014-04-09. (原始內容存檔於2014-04-12). 
  95. ^ SourceForge response to Heartbleed. SourceForge. 2014-04-10. (原始內容存檔於2014-04-11). 
  96. ^ Heartbleed. SparkFun英語SparkFun Electronics. 2014-04-09. (原始內容存檔於2014-04-13). 
  97. ^ Heartbleed. Stripe. 2014-04-09 [2014-04-10]. (原始內容存檔於2014-04-13). 
  98. ^ Tumblr Staff-Urgent security update. 2014-04-08 [2014-04-09]. (原始內容存檔於2014-04-09). 
  99. ^ Hern, Alex. Heartbleed: don't rush to update passwords, security experts warn. The Guardian. 2014-04-09. (原始內容存檔於2015-01-07). 
  100. ^ 100.0 100.1 Grossmeier, Greg. [Wikitech-l] Fwd: Security precaution – Resetting all user sessions today. Wikimedia Foundation. 2014-04-08 [2014-04-09]. (原始內容存檔於2014-06-18). 
  101. ^ Grossmeier, Greg. Wikimedia's response to the "Heartbleed" security vulnerability. Wikimedia Foundation blog. Wikimedia Foundation. 2014-04-10 [2014-04-10]. (原始內容存檔於2014-04-13). 
  102. ^ Wunderlist & the Heartbleed OpenSSL Vulnerability. 2014-04-10 [2014-04-10]. (原始內容存檔於2014-04-13). 
  103. ^ Security concerns prompts tax agency to shut down website. CTV News. 2014-04-09 [2014-04-09]. (原始內容存檔於2021-01-18). 
  104. ^ Heartbleed: Canadian tax services back online. CBC News. [2014-04-14]. (原始內容存檔於2018-04-25). 
  105. ^ Fiegerman, Seth. The Heartbleed Effect: Password Services Are Having a Moment. Mashable. 2014-04-14. (原始內容存檔於2017-10-16). 
  106. ^ LastPass and the Heartbleed Bug. LastPass. 2014-04-08 [2014-04-28]. (原始內容存檔於2017-12-30). 
  107. ^ [tor-relays] Rejecting 380 vulnerable guard/exit keys. Lists.torproject.org. [2014-04-19]. (原始內容存檔於2014-04-19). 
  108. ^ Tor Weekly News—April 16th, 2014 | The Tor Blog. Blog.torproject.org. [2014-04-19]. (原始內容存檔於2014-04-19). 
  109. ^ Gallagher, Sean. Tor network's ranks of relay servers cut because of Heartbleed bug. Ars Technica. 2012-05-17 [2014-04-19]. (原始內容存檔於2014-04-20). 
  110. ^ Mimoso, Michael. Tor Blacklisting Exit Nodes Vulnerable to Heartbleed Bug | Threatpost | The first stop for security news. Threatpost. [2014-04-19]. (原始內容存檔於2014-04-19). 
  111. ^ Paul Younger. PC game services affected by Heartbleed and actions you need to take. IncGamers. 2014-04-11. (原始內容存檔於2014-04-15). 
  112. ^ HP Servers Communication: OpenSSL "HeartBleed" Vulnerability. 2014-04-18. (原始內容存檔於2016-03-04). 
  113. ^ FileMaker products and the Heartbleed bug. 2014-05-06 [2015-01-01]. (原始內容存檔於2016-10-12). 
  114. ^ italovignoli. LibreOffice 4.2.3 is now available for download. The Document Foundation. 2014-04-10 [2014-04-11]. (原始內容存檔於2014-04-12). 
  115. ^ CVE-2014-0160. LibreOffice. 2014-04-07 [2014-05-02]. (原始內容存檔於2014-05-03). 
  116. ^ LogMeIn and OpenSSL. LogMeIn英語LogMeIn. [2014-04-10]. (原始內容存檔於2014-04-11). 
  117. ^ McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products. McAfee KnowledgeBase. McAfee. 2014-04-17. (原始內容存檔於2014-04-16). 
  118. ^ 118.0 118.1 118.2 118.3 118.4 118.5 OpenSSL Security Bug - Heartbleed / CVE-2014-0160. [2014-05-12]. (原始內容存檔於2014-05-28). 
  119. ^ Recent Version History. WinSCP. 2014-04-14 [2014-05-02]. (原始內容存檔於2014-04-27). 
  120. ^ Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed". VMware, Inc. [2014-04-17]. (原始內容存檔於2014-04-16). 
  121. ^ DSA-2896-1 openssl—security update. The Debian Project. 2014-04-07. (原始內容存檔於2014-04-11). 
  122. ^ Ubuntu Security Notice USN-2165-1. Canonical, Ltd. 2014-04-07 [2014-04-17]. (原始內容存檔於2014-04-13). 
  123. ^ Important: openssl security update. Red Hat, Inc. 2014-04-08. (原始內容存檔於2014-04-18). 
  124. ^ Karanbir Singh's posting to CentOS-announce. centos.org. 2014-04-08. (原始內容存檔於2014-04-14). 
  125. ^ Amazon Linux AMI Security Advisory: ALAS-2014-320. Amazon Web Services, Inc. 2014-04-07 [2014-04-17]. (原始內容存檔於2014-06-06). 
  126. ^ Android 4.1.1 devices vulnerable to Heartbleed bug, says Google. NDTV Convergence. 2014-04-14. (原始內容存檔於2014-04-20). 
  127. ^ Around 50 million Android smartphones are still vulnerable to the Heartbleed Bug. Fox News. 2014-04-17. (原始內容存檔於2014-04-19). 
  128. ^ Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected. BGR Media. 2014-04-16. (原始內容存檔於2016-10-22). 
  129. ^ Blaich, Andrew. Heartbleed Bug Impacts Mobile Devices. Bluebox. 2014-04-08. (原始內容存檔於2014-05-06). 
  130. ^ Snell, Jason. Apple releases Heartbleed fix for AirPort Base Stations. Macworld. 2014-04-22. (原始內容存檔於2014-04-25). 
  131. ^ Kleinman, Alexis. The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do. The Huffington Post. 2014-04-11. (原始內容存檔於2014-04-12). 
  132. ^ 132.0 132.1 Yadron, Danny. Heartbleed Bug Found in Cisco Routers, Juniper Gear. Dow Jones & Company, Inc. 2014-04-10. (原始內容存檔於2014-04-15). 
  133. ^ 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160). Juniper Networks. 2014-04-14. (原始內容存檔於2014-04-16). 
  134. ^ IPCop 2.1.4 is released. IPCop英語IPCop. 2014-04-08 [2014-04-11]. 139697815506679. (原始內容存檔於2020-05-16). 
  135. ^ OpenSSL "Heartbleed" Information Disclosure, ECDSA. pfSense. 2014-04-08 [2014-05-02]. (原始內容存檔於2014-05-02). 
  136. ^ Heartbleed Bug Issue. Western Digital. 2014-04-10. (原始內容存檔於2014-04-19). 
  137. ^ Brewster, Tom. Heartbleed: 95% of detection tools 'flawed', claim researchers. The Guardian. Guardian News and Media Limited. 2014-04-16. (原始內容存檔於2014-10-21). 
  138. ^ Tripwire SecureScan. Tripwire - Take Control of IT Security and Regulatory Compliance with Tripwire Software. [2014-10-07]. (原始內容存檔於2014-04-16). 
  139. ^ AppCheck - static binary scan, from Codenomicon. [2014-10-07]. (原始內容存檔於2014-10-17). 
  140. ^ Arbor Network's Pravail Security Analytics. Arbor Network. [2014-10-07]. (原始內容存檔於2014-04-11). 
  141. ^ Norton Safeweb Heartbleed Check Tool. [2014-10-07]. (原始內容存檔於2014-10-10). 
  142. ^ Heartbleed OpenSSL extension testing tool, CVE-2014-0160. Possible.lv. [2014-04-11]. (原始內容存檔於2014-04-11). 
  143. ^ Test your server for Heartbleed (CVE-2014-0160). [2014-11-25]. (原始內容存檔於2014-11-25). 
  144. ^ Cyberoam Security Center. [2014-11-25]. (原始內容存檔於2014-04-15). 
  145. ^ Critical Watch :: Heartbleed Tester :: CVE-2014-0160. Heartbleed.criticalwatch.com. [2014-04-14]. (原始內容存檔於2014-04-14). 
  146. ^ metasploit-framework/openssl_heartbleed.rb at master. [2014-11-25]. (原始內容存檔於2015-06-28). 
  147. ^ OpenSSL Heartbeat Vulnerability Check (Heartbleed Checker). [2014-11-25]. (原始內容存檔於2014-12-24). 
  148. ^ Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App. Lookout手機安全公司英語Lookout Mobile Security博客. 2014-04-09 [2014-04-10]. (原始內容存檔於2014-04-13). 
  149. ^ Heartbleed checker. LastPass. [2014-04-11]. (原始內容存檔於2014-04-10). 
  150. ^ OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools. Pentest-tools.com. [2014-04-11]. (原始內容存檔於2014-04-13). 
  151. ^ Stafford, Jared. heartbleed-poc.py. Red Hat, Inc. 2014-04-14. (原始內容存檔於2014-04-12). 
  152. ^ Qualys's SSL Labs' SSL Server Test. [2014-10-07]. (原始內容存檔於2014-10-07). 
  153. ^ Chromebleed. [2014-10-07]. (原始內容存檔於2014-10-18). 
  154. ^ FoxBleed. [2014-10-07]. (原始內容存檔於2014-10-12). 
  155. ^ SSL Diagnos. SourceForge. [2014-10-07]. (原始內容存檔於2014-10-12). 
  156. ^ CrowdStrike Heartbleed Scanner. [2014-10-07]. (原始內容存檔於2014-10-11). 
  157. ^ Lynn, Samara. Routers, SMB Networking Equipment - Is Your Networking Device Affected by Heartbleed?. PCMag.com. [2014-04-24]. (原始內容存檔於2014-04-24). 
  158. ^ Netcraft Site Report. [2014-10-07]. (原始內容存檔於2014-08-17). 
  159. ^ Netcraft Extensions. [2014-10-07]. (原始內容存檔於2014-10-11). 
  160. ^ Mutton, Paul. Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera. Netcraft英語Netcraft. 2014-06-24. (原始內容存檔於2014-07-11). 
  161. ^ Mann, Jeffrey. Tenable Facilitates Detection of OpenSSL Vulnerability Using Nessus and Nessus Perimeter Service. Tenable Network Security英語Tenable Network Security. 2014-04-09. (原始內容存檔於2014-04-13). 
  162. ^ Nmap 6.45 Informal Release. 2014-04-12. (原始內容存檔於2014-04-17). 
  163. ^ VRT: Heartbleed Memory Disclosure – Upgrade OpenSSL Now!. 2014-04-08. (原始內容存檔於2014-04-11). 
  164. ^ Blogs | How to Detect a Prior Heartbleed Exploit. Riverbed. 2014-04-09. (原始內容存檔於2014-04-19). 
  165. ^ Patched Servers Remain Vulnerable to Heartbleed OpenSSL | Hayden James. Haydenjames.io. [2014-04-10]. (原始內容存檔於2014-04-13). 
  166. ^ Security Certificate Revocation Awareness – Specific Implementations. Gibson Research Corporation. [2014-06-07]. (原始內容存檔於2014-05-12). 
  167. ^ Sean Michael Kerner. Heartbleed SSL Flaw's True Cost Will Take Time to Tally. eWEEK英語eWeek. 2014-04-19 [2015-01-10]. (原始內容存檔於2021-01-18). 
  168. ^ 168.0 168.1 168.2 168.3 A. Wheeler, David. How to Prevent the next Heartbleed. 2014-04-29. (原始內容存檔於2014-12-25). 
  169. ^ Merkel, Robert. How the Heartbleed bug reveals a flaw in online security. The Conversation. 2014-04-11. (原始內容存檔於2014-04-17). 
  170. ^ Embedded System Security with Rust: Case Study of Heartbleed. blog.getreu.net. [2019-03-19]. (原始內容存檔於2019-09-04). 
  171. ^ MesaLink is a memory-safe and OpenSSL-compatible TLS library.: mesalock-linux/mesalink, MesaLock Linux, 2019-03-18 [2019-03-19], (原始內容存檔於2021-01-03) 
  172. ^ Re: FYA: http: heartbleed.com. Gmane. [2014-04-11]. (原始內容存檔於2014-04-11). 
  173. ^ Theo De Raadt's Small Rant On OpenSSL. Slashdot. Dice. 2014-04-10. (原始內容存檔於2014-04-24). 
  174. ^ OpenBSD has started a massive strip-down and cleanup of OpenSSL. OpenBSD journal. 2014-04-15. (原始內容存檔於2014-07-01). 
  175. ^ Lia Timson. Who is Robin Seggelmann and did his Heartbleed break the internet?. The Sydney Morning Herald. 2014-04-11. (原始內容存檔於2014-04-11). 
  176. ^ Williams, Chris. OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts. The Register. 2014-04-11. (原始內容存檔於2016-09-19). 
  177. ^ Smith, Gerry. How The Internet's Worst Nightmare Could Have Been Avoided. The Huffington Post. 2014-04-10. (原始內容存檔於2014-04-27). The bug revealed this week was buried inside 10 lines of code and would have been spotted in an audit, according to Laurie, who works on the security team at Google.(據谷歌安全團隊的勞里說,這星期發現的漏洞隱藏在10行代碼中,本可以通過審查發現。) 
  178. ^ John Walsh. Free Can Make You Bleed. ssh communications security. 2014-04-30 [2016-09-11]. (原始內容存檔於2016-12-02). 
  179. ^ Walsh, John. Free Can Make You Bleed. SSH Communications Security. 2014-04-30. (原始內容存檔於2014-05-05). 
  180. ^ Seltzer, Larry. OpenBSD forks, prunes, fixes OpenSSL. Zero Day. ZDNet. 2014-04-21 [2014-04-21]. (原始內容存檔於2014-04-21). 
  181. ^ Pagliery, Jose. Your Internet security relies on a few volunteers. CNNMoney. Cable News Network. 2014-04-18. (原始內容存檔於2014-04-23). 
  182. ^ 182.0 182.1 182.2 Perlroth, Nicole. Heartbleed Highlights a Contradiction in the Web. The New York Times (The New York Times Company). 2014-04-18. (原始內容存檔於2014-05-08). 
  183. ^ Kaminsky, Dan. Be Still My Breaking Heart. Dan Kaminsky's Blog. 2014-04-10. (原始內容存檔於2014-04-14). 
  184. ^ Chiusano, Paul. The failed economics of our software commons, and what you can about it right now. Paul Chiusano's blog. 2014-12-08. (原始內容存檔於2014-12-09). 
  185. ^ 185.0 185.1 Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects. The Linux Foundation. 2014-04-24. (原始內容存檔於2014-04-25). 
  186. ^ Paul, Ian. In Heartbleed's wake, tech titans launch fund for crucial open-source projects. PCWorld. 2014-04-24. (原始內容存檔於2014-04-25). 
  187. ^ Google Project Zero aims to keep the Heartbleed Bug from happening again. TechRadar. [2017-04-09]. (原始內容存檔於2017-04-10) (英語). 

延伸閱讀[編輯]

  • Durumeric, Zakir; et al. The Matter of Heartbleed. Proceedings of the 2014 Conference on Internet Measurement Conference. 2014: 475–488. doi:10.1145/2663716.2663755. 

外部連結[編輯]

維基共享資源上的相關多媒體資源:心臟出血漏洞
電腦入侵
事件
政府機構
黑客組織
個人
惡意軟件
概念·思想
手段·技術
協議和技術
公鑰基礎設施
另見
歷史
實現
公證
漏洞
理論
密碼本
協議
實現
取自「https://zh.100ke.info/w/index.php?title=心脏出血漏洞&oldid=80911791