CryptoJS 是否容易受到 OpenSSL Heartbleed 错误的影响?

【问题标题】:Is CryptoJS vulnerable to the OpenSSL Heartbleed bug?CryptoJS 是否容易受到 OpenSSL Heartbleed 错误的影响?
【发布时间】:2014-04-14 10:46:45
【问题描述】:

我们在我们的应用程序中使用 CryptoJS。由于 CryptoJS 使用 OpenSSL,我们是否容易受到 Heartbleed 漏洞的影响?如果是,我们可以做些什么来防止它?

【问题讨论】:

  • 考虑在 security.stackexchange.com 上询问
  • @Gareth 谢谢。我也在那里发帖。任何建议将不胜感激。
  • 此问题属于 Stack Exchange 网络中的另一个站点。也许是 security.stackexchange.com 或 crypto.stackexchange.com。
  • 重复:security.stackexchange.com/questions/55711/…

标签: javascript cryptography openssl cryptojs heartbleed-bug


【解决方案1】:

由于“crypto.js”使用开放式 SSL,我们是否容易受到令人心碎的攻击?

heartbleed attack 连接到“传输层安全 (TLS) 心跳扩展的处理”。

因此,只有当crypto.js 具有 TLS / SSL 服务器或客户端时,才可能进行 heartbleed 攻击;并且您将其用作 TLS / SSL 服务器或客户端。

如果你不使用它的 TLS,(或者如果库没有看起来像的 tls/ssl 客户端 - 在 sources 中找不到 TLS) - 你不会受到 heartbleed 的攻击.

如果是,我们可以做些什么来防止它?

更新系统的 OpenSSL 库;检查连接到您的服务器和客户端是否存在 heartbleed 漏洞。

【讨论】:

  • 感谢您的回复。我们已经从上述资源下载了cryptoJS.js,它包含在我们的应用程序包和站点中。网站托管在我们的服务器上。我们是否需要检查任何其他漏洞?
  • user1533947,您应该检查服务器上安装的 OpenSSL 库(并将其更新到本周的最新版本)。如果您使用“https://”协议,您的网络服务器守护进程(apache、nginx 等)可能容易受到 heartbleed 的影响。
猜你喜欢
  • 1970-01-01
  • 2021-11-18
  • 1970-01-01
  • 2014-09-17
  • 2014-05-30
  • 2015-04-17
  • 1970-01-01
  • 1970-01-01
  • 2012-06-11
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode