安全性：令人流血的漏洞

2014年4月7日，安全研究人员发现了一个严重漏洞（CVE-2014-0160）（在OpenSSL中），这是许多网站（包括Clear Books）使用的一种非常流行的加密库。该库可确保服务器与客户端之间的安全通信，同时还可确认服务器的身份。

尽管我们没有迹象表明该攻击已针对Clear Books进行了使用，但我们仍在高度谨慎，因为该漏洞的性质使得很难检测到攻击。

清晰图书对此有何作法？

• 漏洞详细信息在昨天早晨发布后，我们立即将所有服务器修补到最新的OpenSSL版本，该版本不受此类攻击。
• 除了重置我们的内部凭据之外，还重新创建并重新部署了新的SSL密钥。最重要的是，我们所有的旧证书也被撤销；只是为了安全起见。
• 为了预防起见，在修补服务器之前，如果所有会话都被破坏，我们会强制所有用户注销。

您能对此做什么？

如前所述，我们没有迹象表明Clear Books是此类攻击的目标，但是希望格外谨慎的客户可以重新设置密码，并应确保使用唯一的难以猜测的密码。我们建议对您使用的所有网站（不仅仅是“透明书”）执行此操作。

敬请关注

更新10/04/2014– 10:10 –截至昨晚11:50，所有会话均已失效，您需要登录到Clear Books帐户。如昨天所述，这是一种预防措施。