安全公告編號:CNTA-2014-0012
4月8日,國家信息安全漏洞共享平臺CNVD收錄了OpenSSL存在的一個內(nèi)存泄露高危漏洞(CNVD編號:CNVD-2014-02175,對應(yīng)CVE-2014-0160)。攻擊者利用漏洞可以讀取系統(tǒng)的內(nèi)存數(shù)據(jù),從而獲得密鑰、用戶賬號密碼和cookies等敏感信息,對目前各類基于OpenSSL的服務(wù)器應(yīng)用安全構(gòu)成嚴(yán)重的威脅。具體情況通報如下:
一、漏洞情況分析
OpenSSL是一款開放源碼的SSL實現(xiàn),用來實現(xiàn)網(wǎng)絡(luò)通信的高強度加密。漏洞與OpenSSL TLS/DTLS傳輸層安全協(xié)議heartbeat擴展組件(RFC6520)相關(guān),因此漏洞又被稱為“heartbleed bug”(中文名稱:“心血”漏洞)。CNVD測試結(jié)果表明,該漏洞無需任何特權(quán)信息或身份驗證,就可以獲得X.509證書的私鑰、用戶名與密碼、cookies等信息,進一步可直接從服務(wù)提供商和用戶通訊中竊取聊天工具消息、電子郵件以及重要的商業(yè)文檔和通信等私密數(shù)據(jù)。
二、漏洞影響范圍
CNVD對該漏洞的綜合評級為“高?!?。受該漏洞影響的產(chǎn)品包括:OpenSSL 1.0.1-1.0.1f版本。目前,根據(jù)CNVD合作伙伴WOOYUN網(wǎng)站以及相關(guān)白帽子的測試結(jié)果,一些大型互聯(lián)網(wǎng)企業(yè)的網(wǎng)站服務(wù)器受到影響。由于OpenSSL還會應(yīng)用到一些VPN、郵件、即時聊天等類型的服務(wù)器上,因此對服務(wù)提供商以及用戶造成的威脅范圍將會進一步擴大?;ヂ?lián)網(wǎng)上已經(jīng)出現(xiàn)了針對該漏洞的攻擊利用代碼,預(yù)計在近期針對該漏洞的攻擊將呈現(xiàn)激增趨勢。
三、漏洞處置建議
目前,OpenSSL 1.0.1g已修復(fù)該漏洞。CNVD建議相關(guān)用戶及時下載使用。如無法及時升級,可參考o(jì)penssl官方建議重新編譯加上-DOPENSSL_NO_HEARTBEATS。
相關(guān)安全公告鏈接參考如下:
http://www.**.org.cn/flaw/show/CNVD-2014-02175 (其中,**表示cnvd)
http://web.**.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160http://osvdb.com/show/osvdb/105465 (其中,**表示nvd)
http://**.com/ (其中,**表示heartbleed)
http://www.**.org/bugs/wooyun-2014-055932 (其中,**表示wooyun)