安全公告編號:CNTA-2014-0012
4月8日,國家信息安全漏洞共享平臺CNVD收錄了OpenSSL存在的一個內存泄露高危漏洞(CNVD編號:CNVD-2014-02175,對應CVE-2014-0160)。攻擊者利用漏洞可以讀取系統的內存數據,從而獲得密鑰、用戶賬號密碼和cookies等敏感信息,對目前各類基于OpenSSL的服務器應用安全構成嚴重的威脅。具體情況通報如下:
一、漏洞情況分析
OpenSSL是一款開放源碼的SSL實現,用來實現網絡通信的高強度加密。漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴展組件(RFC6520)相關,因此漏洞又被稱為“heartbleed bug”(中文名稱:“心血”漏洞)。CNVD測試結果表明,該漏洞無需任何特權信息或身份驗證,就可以獲得X.509證書的私鑰、用戶名與密碼、cookies等信息,進一步可直接從服務提供商和用戶通訊中竊取聊天工具消息、電子郵件以及重要的商業文檔和通信等私密數據。
二、漏洞影響范圍
CNVD對該漏洞的綜合評級為“高危”。受該漏洞影響的產品包括:OpenSSL 1.0.1-1.0.1f版本。目前,根據CNVD合作伙伴WOOYUN網站以及相關白帽子的測試結果,一些大型互聯網企業的網站服務器受到影響。由于OpenSSL還會應用到一些VPN、郵件、即時聊天等類型的服務器上,因此對服務提供商以及用戶造成的威脅范圍將會進一步擴大。互聯網上已經出現了針對該漏洞的攻擊利用代碼,預計在近期針對該漏洞的攻擊將呈現激增趨勢。
三、漏洞處置建議
目前,OpenSSL 1.0.1g已修復該漏洞。CNVD建議相關用戶及時下載使用。如無法及時升級,可參考openssl官方建議重新編譯加上-DOPENSSL_NO_HEARTBEATS。
相關安全公告鏈接參考如下:
http://www.**.org.cn/flaw/show/CNVD-2014-02175 (其中,**表示cnvd)
http://web.**.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160http://osvdb.com/show/osvdb/105465 (其中,**表示nvd)
http://**.com/ (其中,**表示heartbleed)
http://www.**.org/bugs/wooyun-2014-055932 (其中,**表示wooyun)
云塘校區地址:湖南省長沙市(天心區)萬家麗南路二段960號 