- 論壇徽章:
- 0
|
綠盟科技緊急通告(Alert2014-04)
NSFOCUS安全小組(security@nsfocus.com)
http://www.nsfocus.com
OpenSSL心跳包越界讀敏感信息泄漏漏洞
發(fā)布日期:2014-04-09
CVE ID:CVE-2014-0160
受影響的軟件及系統(tǒng):
====================
OpenSSL 1.0.1
OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1
未受影響的軟件及系統(tǒng):
======================
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g
OpenSSL 1.0.2-beta2
綜述:
======
OpenSSL是一種開放源碼的SSL實現(xiàn)���,用來實現(xiàn)網(wǎng)絡(luò)通信的高強度加密�,現(xiàn)在被廣泛地用于各種網(wǎng)絡(luò)應(yīng)用程序中�。
由于OpenSSL在處理TLS心跳擴展中沒有進行邊界檢查,這可導(dǎo)致64K的內(nèi)存信息泄漏給已連接的客戶端或服務(wù)器�����。只有OpenSSL的1.0.1及1.0.2-beta版本受到影響�����,包括:1.0.1f及1.0.2-beta1版本���。
鑒于此漏洞的嚴重程度���,建議正在使用受影響版本的用戶立刻升級到最新版本���。
分析:
======
TLS心跳由一個請求包組成�,其中包括有效載荷(payload)���,通信的另一方將讀取這個包并發(fā)送一個響應(yīng)�����,其中包含同樣的載荷�。在處理心跳請求的代碼中,載荷大小是從攻擊者可控的包中讀取的���。由于OpenSSL并沒有檢查該載荷大小值����,從而導(dǎo)致越界讀����,造成了敏感信息泄漏。
泄漏的信息內(nèi)容可能會包括加密的私鑰和其他敏感信息例如用戶名����、口令等。
解決方法:
==========
NSFOCUS建議您升級到OpenSSL 1.0.1g����。但如果您不能立刻安裝補丁或者升級,您可以采取以下措施以降低威脅:
* 使用-DOPENSSL_NO_HEARTBEATS選項重編譯OpenSSL�。
廠商狀態(tài):
==========
Openssl已經(jīng)發(fā)布了Openssl 1.0.1g修復(fù)此問題��,:
廠商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
對于OpenSSL 1.0.2 Releases, 廠商表示將會在1.0.2-beta2中修復(fù)�。
主流Linux發(fā)行版也已經(jīng)發(fā)布相關(guān)補丁��,請盡快升級��。
附加信息:
==========
1. https://www.openssl.org/news/secadv_20140407.txt
2. http://heartbleed.com/
聲 明
==========
本安全公告僅用來描述可能存在的安全問題�,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播�、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責(zé)���,綠盟科技以及安全公告作者不為此承擔(dān)任何責(zé)任���。綠盟科技擁有對此安全公告的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此安全公告����,必須保證此安全公告的完整性,包括版權(quán)聲明等全部內(nèi)容���。未經(jīng)綠盟科技允許,不得任意修改或者增減此安全公告內(nèi)容��,不得以任何方式將其用于商業(yè)目的。
關(guān)于綠盟科技
============
綠盟科技(NSFOCUS Co., Ltd.)是中國網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)企業(yè)���,致力于網(wǎng)絡(luò)和系統(tǒng)安全問題的研究�、高端網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)����、銷售與網(wǎng)絡(luò)安全服務(wù),在入侵檢測/保護���、遠程評估����、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產(chǎn)品���,是國內(nèi)最具安全服務(wù)經(jīng)驗的專業(yè)公司����。有關(guān)綠盟科技的詳情請參見: http://www.nsfocus.com
© 2014 綠盟科技 |
|
免費注冊
發(fā)表于 2014-04-09 11:10