問題: |
OpenSSL 公告了一個極度嚴重的漏洞(CVE-2014-0160),被稱為「Heartbleed」,而他確實也如同心臟噴出血般嚴重。這個漏洞能讓攻擊者從伺服器記憶體中讀取
64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含
ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
詳細的分析可以參閱 existential
type crisis : Diagnosis of the OpenSSL Heartbleed Bug |
|
Symantec 建議: |
Symantec Security Response 建議如果有使用 OpenSSL , 請更新到修正版本
1.0.1g, 如果暫時無法做此修正, 程式開發人員可以 recompile OpenSSL with the handshake
removed from the code by compile time option -DOPENSSL_NO_HEARTBEATS. |
|
受影響版本範圍: |
- 軟體名稱:OpenSSL
- 影響範圍:1.0.1 至 1.0.1f / 1.0.2-beta
- 修復版本:1.0.1g / 1.0.2-beta1
- 影響系統版本
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL
1.0.1c 10 May 2012)
- FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
|
|
如何自我檢測? |
要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。
Heartbleed test http://filippo.io/Heartbleed/
直接輸入 Domain 即可查詢,例如「e-banking.hengsang.com」。
OpenSSL 的公告如下:https://www.openssl.org/news/secadv_20140407.txt
A missing bounds check in the handling of the TLS heartbeat extension
can be used to reveal up to 64k of memory to a connected client
or server.
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.
|
|
|
|
|