在上,OpenSSL是一个开放源代码的软件函式库套件,应用程序可以使用这个套件来进行安全通讯,避免窃听,同时确认另一端连线者的身份。这个套件广泛被应用在互联网的网页服务器上。
2
american fuzzy lop 是一个自由软件模糊测试工具,采用遗传算法以有效地提高测试用例的代码覆盖率。目前为止,它帮助检测了数十个主要自由软件项目中的重大程序错误,包括X.Org Server、PHP、OpenSSL、 pngcrush、Bash、Firefox、BIND、 Qt 和SQLite。
降级攻击是一种对计算机系统或通讯协议的攻击。在降级攻击中,攻击者故意使系统放弃新式、安全性高的工作方式,反而使用为向下兼容而准备的老式、安全性差的工作方式。例如,在OpenSSL中曾经存在一个程序错误,从而使攻击者能够让TLS服务器与客户端建立老版本TLS连接,尽管双方事实上支持新版本。这样的攻击是最常见的降级攻击。
wolfSSL ,是一个提供传输层安全协议功能的软件库,主要针对嵌入式系系统发展。以开放原始码及商用许可两种方式释出,提供SSL/TLS功能,以C语言写成。提供了与OpenSSL兼容的API界面,让原有使用OpenSSL的软件可以容易的移植过来。
wolfSSL ,是一个提供传输层安全协议功能的软件库,主要针对嵌入式系系统发展。以开放原始码及商用许可两种方式释出,提供SSL/TLS功能,以C语言写成。提供了与OpenSSL兼容的API界面,让原有使用OpenSSL的软件可以容易的移植过来。
SSLeay,一个开放源代码的自由软件函式库套件,实作了SSL协定。由 Eric Andrew Young与 Tim J. Hudson开发,以RC2及RC4加密来实作出SSL 3.0。最早在1995年开始发展,在这两位作者至RSA安全公司任职后,SSLeay专案的开发停止,在1998年12月另外分支出OpenSSL,由志愿者维持,继续发展下去。
LibreSSL是OpenSSL密码学函式库的一个复刻,是一个安全套接层和传输层安全协议的开放源代码实现。在OpenSSL爆出心脏出血漏洞计算机安全隐患之后,一些OpenBSD开发者于2014年4月创立了LibreSSL,目标是代码重构OpenSSL的代码,以提供一个更安全的替代品。LibreSSL复刻自OpenSSL库的1.0.1g分支,它将遵循OpenBSD基金会在其他项目所使用的安全指导原则。
心脏出血漏洞,简称为心血漏洞,是一个出现在密码学程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全协议协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证,因此漏洞的名称来源于“心跳”。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。
心脏出血漏洞,简称为心血漏洞,是一个出现在密码学程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全协议协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证,因此漏洞的名称来源于“心跳”。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。
心脏出血漏洞,简称为心血漏洞,是一个出现在密码学程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全协议协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证,因此漏洞的名称来源于“心跳”。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。
心脏出血漏洞,简称为心血漏洞,是一个出现在密码学程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全协议协议。它于2012年被引入了OpenSSL中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证,因此漏洞的名称来源于“心跳”。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。
Mini wiki
