返回信息流以下转自神牛
这个ssl漏洞发现者至少去年之前就发现了这个漏洞,也就是说,只要他愿意,那时候的大部分站的内存对他毫不设防。。。所以淘宝,银联,各大邮箱,各大国内外交友网站实际上都有人有明文账号密码库的。。。。这个世界太危险了,还是挖漏洞一本万利啊,一个0day操翻世界。。。。羡慕ing。。。。
以下转自贴吧:
受openssl漏洞(漏洞编号CVE-2014-0160)影响, 7日晚上到8日18点登陆过淘宝网页版的用户请更改密码, 同时更改一切使用了相同密码的其他账户; 这个时间段登陆过微信的请登出并重新登入微信以清除session; 支付宝用的是硬件ssl设备不受影响..
除上述网站外还有其他https网站有加密密钥和私有通信被解译, 都可以去改密码了;
例如苏宁, 京东, 各种邮箱等等...
据说有哥们昨天开始抓淘宝数据, 差不多抓了2000w条数据了;
附苏宁测试截图:
这是一条镜像帖。来源:北邮人论坛 / www-technology / #24567同步于 2014/4/8
该镜像源已超过 30 天没有更新,可能在源站已被删除。
WWWTechnology机器人发帖
OpenSSL漏洞涉及众多网站,目测今年第一大洞,尽快改密
prison
2014/4/8镜像同步20 回复
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
【 在 huzzar 的大作中提到: 】
: 哪个大神来用通俗的语言解释一下这个漏洞到底是怎么回事。。。
没有对异常包的检查,然后memcpy函数会复制这条记录之后的数据
该 bug 是在 2011 年引入到 OpenSSL 中,使用 OpenSSL 0.9.8 的发行版不受影响,但 Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4 和 NetBSD 5.0.2 之后的版本都受到影响。如果你运行存在该 bug 的系统,那么最好废除所有密钥。