博客
返回博客文章
2014 年 4 月 9 日
RubyGems.org 对 CVE-2014-0160 (心脏出血) 的回应
作者:萨姆·科特勒
在这一点上,你可能已经听说过 CVE-2014-0160,又被称为“心脏出血”。对于你可能还不知道的情况,它是一种非常严重的漏洞,存在于非常流行的 OpenSSL 库中,而 RubyGems.org 以及许多网站、应用程序和系统使用它来保护通信安全。该漏洞使人能够远程访问任意 64k 内存。你可以 在此处 详细了解心脏出血。
在我们得知该漏洞后,我们立即升级了 OpenSSL 及与其链接的应用程序并重启了我们的 SSL 终止层。这阻止了我们的私有密钥和其他敏感信息被潜在访问。由于无法得知私有密钥材料是否因该漏洞而泄露,我们立即重新生成了我们的 SSL 私有密钥和证书。新证书已部署大约 36 个小时。
新证书的 SHA1 指纹为 F6 F6 C6 7A 91 D8 51 28 02 1D 19 8F 8A FB A5 7D 4E D3 9C 34。
和往常一样,欢迎你通过 联系 RubyGems.org 运维团队来咨询任何安全问题。感谢你使用 RubyGems.org!