發布日期:2014-04-10
CVE ID:CVE-2014-0160
受影響的軟件及系統:
====================
OpenSSL 1.0.1-OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1
未受影響的軟件及系統:
======================
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g
OpenSSL 1.0.2-beta2
綜述:
======
OpenSSL是一種開放源碼的SSL實現,用來實現網絡通信的高強度加密,現在被廣泛地用于各種網絡應用程序中。
由于OpenSSL在處理TLS心跳擴展中沒有進行邊界檢查,這可導致64K的內存信息泄漏給已連接的客戶端或服務器。只有OpenSSL的1.0.1及1.0.2-beta系列版本受到影響,包括:1.0.1f及1.0.2-beta1版本。
鑒于此漏洞的嚴重程度,建議正在使用受影響版本的用戶立刻升級到最新版本。
分析:
======
TLS心跳由一個請求包組成,其中包括有效載荷(payload),通信的另一方將讀取這個包并發送一個響應,其中包含同樣的載荷。在處理心跳請求的代碼中,載荷大小是從攻擊者可控的包中讀取的。由于OpenSSL并沒有檢查該載荷大小值,從而導致越界讀,造成了敏感信息泄漏。
泄漏的信息內容可能會包括加密的私鑰和其他敏感信息例如用戶名、口令等。
解決方法:
==========
NSFOCUS建議您升級到OpenSSL 1.0.1g。但如果您不能立刻安裝補丁或者升級,您可以采取以下措施以降低威脅:
* 使用-DOPENSSL_NO_HEARTBEATS選項重編譯OpenSSL。
廠商狀態:
==========
Openssl已經發布了Openssl 1.0.1g修復此問題,:
廠商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
對于OpenSSL 1.0.2 Releases, 廠商表示將會在1.0.2-beta2中修復。
主流Linux發行版也已經發布相關補丁,請盡快升級。
附加信息:
==========
1. https://www.openssl.org/news/secadv_20140407.txt
2. http://heartbleed.com/
OpenSSL 的詳細介紹:請點這里
OpenSSL 的下載地址:請點這里
相關閱讀:
)
)
