OpenSSL心跳包越界读敏感信息泄漏漏洞 (Alert2014-04)

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
AI安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

2014-04-09

发布者：绿盟科技

描述：

CVE ID：CVE-2014-0160
受影响的软件及系统：
====================
OpenSSL 1.0.1－OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1
未受影响的软件及系统：
======================
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g

OpenSSL 1.0.2-beta2

综述：
======
OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。
由于OpenSSL在处理TLS心跳扩展中没有进行边界检查，这可导致64K的内存信息泄漏给已连接的客户端或服务器。只有OpenSSL的1.0.1及1.0.2-beta系列版本受到影响，包括：1.0.1f及1.0.2-beta1版本。

鉴于此漏洞的严重程度，建议正在使用受影响版本的用户立刻升级到最新版本。

分析：
======
TLS心跳由一个请求包组成，其中包括有效载荷（payload），通信的另一方将读取这个包并发送一个响应，其中包含同样的载荷。在处理心跳请求的代码中，载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值，从而导致越界读，造成了敏感信息泄漏。
泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。

解决方法：

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级，您可以采取以下措施以降低威胁：

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商状态：
==========
Openssl已经发布了Openssl 1.0.1g修复此问题，:
厂商安全公告：
https://www.openssl.org/news/secadv_20140407.txt
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁，请尽快升级。

附加信息：
==========
1. https://www.openssl.org/news/secadv_20140407.txt
2. http://heartbleed.com/

<<上一篇

Microsoft Word RTF文件解析错误代码执行0day漏洞 (Alert2014-03)

>>下一篇

Apache Struts2 CVE-2014-0094修复补丁绕过漏洞 (Alert2014-05)