Heartbleed測試網站在數小時內被竊走私鑰

                    <div id="news_body">                

                <p>　　OpenSSL Heartbleed 漏洞的危險程度被安全專家稱為是“災難級”，攻擊者能利用該漏洞竊走受影響網站的用戶密碼和私鑰，此前的研究發現用戶明文密碼確實會暴露，但竊取私鑰尚未有報道。云計算公司 CloudFlare 發起了一個<a href="/misc/goto?guid=4958830837511934790" target="_blank"> Heartbleed 挑戰賽</a>，使用 nginx Web 服務器和存在漏洞的 OpenSSL 版本搭建了一個網站，邀請挑戰者通過攻擊竊取私鑰。</p>

　　結果短短幾小時私鑰就被安全研究人員成功竊取，至今有 4 個人通過了挑戰： 軟件工程師 Fedor Indutny 發送了至少 250 萬次請求， Ilkka Mattila 發送了約 10 萬次請求，另外兩位是劍橋大學博士生 Rubin Xu 和安全研究員 Ben Murphy。這項挑戰賽顯示，使用存在漏洞的 OpenSSL 版本的網站應該廢除所有舊私鑰和證書。

來自: Solidot