1.OpenSSL心臟出血漏洞

漏洞描述 這項(xiàng)嚴(yán)重缺陷(CVE-2014-0160)的產(chǎn)生是由于未能在memcpy()調(diào)用受害用戶輸入內(nèi)容作為長度參數(shù)之前正確進(jìn)行邊界檢查。

攻擊者可以追蹤OpenSSL所分配的64KB緩存將超出必要范圍的字節(jié)信息復(fù)制到緩存當(dāng)中再返回緩存內(nèi)容，這樣一來受害者的內(nèi)存內(nèi)容就會以每次64KB的速度進(jìn)行泄露。

漏洞危害 OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議．多數(shù)SSL加密網(wǎng)站是用名為OpenSSL的開源軟件包，由于這也是互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸方法，被網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站廣泛使用，所以漏洞影響范圍廣大。 在漏洞爆發(fā)的時(shí)候全球前一百萬的網(wǎng)站中，有40.9%的網(wǎng)站中招。

OpenSSL心臟出血漏洞因其破壞性之大和影響的范圍之廣，堪稱網(wǎng)絡(luò)安全里程碑事件。

2.Shellshock bash漏洞

漏洞描述 法國GNU/Linux愛好者Stéphane Chazelas于2014年9月中旬發(fā)現(xiàn)了著名SHELL實(shí)現(xiàn)BASH的一個(gè)漏洞（CVE-2014-6271），你可以通過構(gòu)造環(huán)境變量的值來執(zhí)行你想要執(zhí)行的腳本代碼，據(jù)報(bào)道稱，這個(gè)漏洞能影響眾多的運(yùn)行在GNU/Linux上的會跟BASH交互的應(yīng)用程序。

漏洞危害 Shellshock所影響的Bash軟件，被廣泛應(yīng)用于各類網(wǎng)絡(luò)服務(wù)器以及其他電腦設(shè)備。Shellshock本身的破壞力卻更大，因?yàn)楹诳涂梢越璐送耆刂票桓腥镜臋C(jī)器，不僅能破壞數(shù)據(jù)，甚至?xí)P(guān)閉網(wǎng)絡(luò)，或?qū)W(wǎng)站發(fā)起攻擊。

與之相比，“心臟流血”漏洞只會導(dǎo)致數(shù)據(jù)泄漏。

3.幽靈漏