首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2014-04)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

OpenSSL心跳包越界讀敏感信息泄漏漏洞

發布日期:2014-04-09

CVE ID:CVE-2014-0160

受影響的軟件及系統:
====================
OpenSSL 1.0.1-OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1

未受影響的軟件及系統:
======================
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g
OpenSSL 1.0.2-beta2

綜述:
======
OpenSSL是一種開放源碼的SSL實現,用來實現網絡通信的高強度加密,現在被廣泛地用于各種網絡應用程序中。

由于OpenSSL在處理TLS心跳擴展中沒有進行邊界檢查,這可導致64K的內存信息泄漏給已連接的客戶端或服務器。只有OpenSSL的1.0.1及1.0.2-beta系列版本受到影響,包括:1.0.1f及1.0.2-beta1版本。

鑒于此漏洞的嚴重程度,建議正在使用受影響版本的用戶立刻升級到最新版本。

分析:
======
TLS心跳由一個請求包組成,其中包括有效載荷(payload),通信的另一方將讀取這個包并發送一個響應,其中包含同樣的載荷。在處理心跳請求的代碼中,載荷大小是從攻擊者可控的包中讀取的。由于OpenSSL并沒有檢查該載荷大小值,從而導致越界讀,造成了敏感信息泄漏。
泄漏的信息內容可能會包括加密的私鑰和其他敏感信息例如用戶名、口令等。

解決方法:
==========
NSFOCUS建議您升級到OpenSSL 1.0.1g。但如果您不能立刻安裝補丁或者升級,您可以采取以下措施以降低威脅:
* 使用-DOPENSSL_NO_HEARTBEATS選項重編譯OpenSSL。

廠商狀態:
==========
Openssl已經發布了Openssl 1.0.1g修復此問題,:

廠商安全公告:
https://www.openssl.org/news/secadv_20140407.txt

對于OpenSSL 1.0.2 Releases, 廠商表示將會在1.0.2-beta2中修復。

主流Linux發行版也已經發布相關補丁,請盡快升級。

附加信息:
==========
1. https://www.openssl.org/news/secadv_20140407.txt
2. http://heartbleed.com/

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 快乐12走势图大彩鲸 安徽舒城麻将规则 pk10北京赛车开奖直播 2012上证指数 双色球红球除八走势图 快乐12开奖结果 福彩3dapp软件 11选5中奖助手官网 60术士如何快速赚钱 专业pk10计划群 活力霜赚钱吗 后一三码15期倍投