Heartbleed (淌血的心) 漏洞

在這個星期一,網路安全公司Codenomicon宣佈他們和谷歌發現一個嚴重的OpenSSL安全漏洞,並將該漏洞命名為Heartbleed (目前還沒有正式的中文稱呼,在此暫譯為『淌血的心』)。到目前為止,這個漏洞並沒有造成任何被証實的資料外洩事故。可是因為許多網站都是透過這個軟體來提供https的功能 (該功能是保障您的敏感訊息,像是網站密碼,不會在從您的電腦傳到網站的途中被劫取),所以該漏洞有可能會造成很大的影響。

如果您是站長,第一件要做的事就是先看一下您的虛擬主機網站有沒有被影響到。以下是幾個步驟:

1. 瀏覽該網站的首頁、部落格、或是它的推特和臉書,看它有沒有貼出公告告訴大家該網站有沒有被影響。

2. 如果該網站沒有任何公告的話,那可以到 http://filippo.io/Heartbleed/ 去測試一下該網站現在有沒有這個漏洞。如果現在有這個漏洞的話,那就先不要改密碼,因為在網站填補這個漏洞前改密碼的話,新的密碼還是可能因為『淌血的心』這個漏洞而被別人劫取。如果沒有的話,那您就應該改密碼,以保安全。

3. 如果您的網站是有用到 OpenSSL 的話,您就需要補這個漏洞。這包括升級到最新版的 OpenSSL,取消您現有的SSL Certificate (SSL 憑證),以及安裝新的SSL 憑證。您的 SSL 憑證公司會提供詳細的步驟。另外有一點很重要的,就是告知您的使用者,請他們更新密碼。您可以告訴他們,雖然他們密碼被竊的機率很低,可是為了安全起見,更新密碼還是最好的做法。

如果您是一般的使用者,那您就需要看看您常登錄的網站有沒有受到影響。以下是幾個台灣網友最常用的網站:

Yahoo!: 需要改密碼
Google: 需要改密碼
Facebook: 需要改密碼
痞客邦: 沒有影響
巴哈姆特電玩資訊站: 沒有影響
Mobile01.com: 沒有影響
聯合新聞網: 沒有影響
卡提諾論壇: 沒有影響
伊莉討論區: 沒有影響
隨意窩: 沒有影響

如果您常用的網站沒有在這裡,您可以照上面提到的步驟去看該網站有沒有被影響到,也就是先去查該網站有沒有發佈任何公告。如果沒有的話,用 http://filippo.io/Heartbleed/ 去看該網站是否現在有『淌血的心』這個漏洞。如果現在有這個漏洞的話,那就先不要改密碼。如果沒有的話,那您就應該改密碼,以保安全。

以下網站有更多資訊:
Heartbleed.com
Heartbleedvirus.com

標籤: Tags: , ,

       


subscribe