OpenSSL心跳包越界读敏感信息泄漏漏洞

发布日期：2014-04-09

CVE ID：CVE-2014-0160

受影响的软件及系统：
====================
OpenSSL 1.0.1－OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1

未受影响的软件及系统：
======================
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g
OpenSSL 1.0.2-beta2

综述：
======
OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

由于OpenSSL在处理TLS心跳扩展中没有进行边界检查，这可导致64K的内存信息泄漏给已连接的客户端或服务器。只有OpenSSL的1.0.1及1.0.2-beta系列版本受到影响，包括：1.0.1f及1.0.2-beta1版本。

鉴于此漏洞的严重程度，建议正在使用受影响版本的用户立刻升级到最新版本。

分析：
======
TLS心跳由一个请求包组成，其中包括有效载荷（payload），通信的另一方将读取这个包并发送一个响应，其中包含同样的载荷。在处理心跳请求的代码中，载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值，从而导致越界读，造成了敏感信息泄漏。
泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。

解决方法：
==========
NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级，您可以采取以下措施以降低威胁：
* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商状态：
==========
Openssl已经发布了Openssl 1.0.1g修复此问题，:

厂商安全公告：
https://www.openssl.org/news/secadv_20140407.txt

对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁，请尽快升级。

附加信息：
==========
1. https://www.openssl.org/news/secadv_20140407.txt
2. http://heartbleed.com/

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技