Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)

转载 2016年06月01日 01:52:11

/****************************************************************************************************************************************/

在我的答辩PPT研究背景中,我想以heartbleed做为一个引子,引出我的论文的研究意义:确保数据安全的重要性。

既然要以此作为论文的开端,那么我首先需要了解heartbleed这一漏洞的机制。

/****************************************************************************************************************************************/


关于OpenSSL存在高危漏洞可被利用发起大规模攻击的情况通报(49日结果)


2014-04-09 17:09:04
安全公告编号:CNTA-2014-0013


48日,国家信息安全漏洞共享平台(CNVD)对OpenSSL存在的一个内存信息泄露高危漏洞进行分析,利用该漏洞可窃取服务器内存当前存储的用户数据。由于OpenSSL应用极为广泛,包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响,直接危及互联网用户财产和个人信息安全。具体情况通报如下:


一、  漏洞情况分析


OpenSSL是一款开放源码的SSL服务软件,用来实现网络通信的加密和认证。漏洞与OpenSSL TLS/DTLS传输层安全协议扩展组件(RFC6520)相关,存在于ssl/dl_both.c文件的心跳部分(heartbeat)。当攻击者向服务器发送一个特殊构造的数据包,可导致内存存储数据输出。远程攻击者可以利用漏洞读取存在相关服务器内存中多达64K字节的数据。根据上述过程,目前漏洞在互联网被称为“heartbleed bug”,中文名称叫做心脏出血““击穿心脏””等。
CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户X.509证书私钥、实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。


二、漏洞影响范围

CNVD对该漏洞的综合评级为高危。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暂不受影响。综合各方测试结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也受到影响。
根据CNVD成员单位——知道创宇公司以及奇虎360公司提供的抽样检测数据,国内网站有2.3万个(占其抽样的1.5%)和1.1万个(占其抽样的1.0%)服务器主机受到影响。目前互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。
三、漏洞处置建议
目前,OpenSSL官方发布的1.0.1g版本已修复该漏洞。为防范可能的攻击,CNVD建议采取如下措施:
(一)网站服务提供商及时下载升级。如无法及时升级,可参考OpenSSL官方建议重新编译,加上-DOPENSSL_NO_HEARTBEATS选项禁止心跳部分的功能;
(二)网站服务商在未及时升级前,建议采用第三方网站安全防护平台或专用防护设备对服务器提供防护;
(三)互联网用户近期应注意网上应用(包括手机APP)安全风险,如发现网银证书、账号和密码被非法使用、篡改的情况,应及时向服务商或CNVD报告。


相关连接:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/


维基百科:https://en.wikipedia.org/wiki/Heartbleed

立即止血!Heartbleed漏洞DIY檢測工具總整理:http://www.ithome.com.tw/news/86657

CVE-2014-0160浅析-OpenSSL数组越界访问(Heartbleed心脏滴血)漏洞

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL的Heartbleed模块存在一个BUG,问题存在于ssl/d...
  • qq_32400847
  • qq_32400847
  • 2017年02月27日 23:35
  • 1435

Openssl“心脏出血”漏洞分析及其利用

一、openssl漏洞形成原因 4月7日,互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。在黑客社区,它被命名为“心脏出血”,表明网络上出现了“致命内伤”。利用该漏洞,黑客可以获取约30...
  • xysoul
  • xysoul
  • 2015年11月17日 22:47
  • 7488

OpenSSL Heartbleed漏洞(CVE-2014-0160)简要分析和检测

1.漏洞简介CVE官网上有这个漏洞的简要介绍、影响范围以及相关文章的索引:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160。大致...
  • wuyangbotianshi
  • wuyangbotianshi
  • 2015年03月11日 10:30
  • 2312

heartbleed 心脏流血漏洞原理及补救方法

When I wrote about the GnuTLS bug, I said that this isn't the last severe TLS stack bug we'd see. ...
  • sdulibh
  • sdulibh
  • 2014年12月28日 14:40
  • 835

OpenSSL重大漏洞-Heartbleed之漏洞利用脚本POC讲解

http://lcx.cc/?i=4275 OpenSSL Security Advisory [07 Apr 2014] ================================...
  • shuai137007479
  • shuai137007479
  • 2017年02月21日 11:32
  • 694

OpenSSL的Heartbleed漏洞原理及简单模拟

Heartbleed漏洞 自从Heartbleed漏洞曝光以来,网上能看到很多相关的文章,但大部分都是写的云里雾里,本文尝试直观明了的对漏洞原理进行说明及模拟。 OpenSSL是SSL协议以及一系列加...
  • caozhankui
  • caozhankui
  • 2014年04月15日 12:22
  • 9208

苹果何以躲过“心脏流血”漏洞?

安全软件OpenSSL最近爆出名为“心脏流血”的重大安全漏洞,波及大量的网站,震惊了整个业界。而苹果则称旗下的IOS和OS X系统及服务均未受影响,那它究竟是如何躲过这一劫的呢?美国科技博客Apple...
  • u014800137
  • u014800137
  • 2014年04月19日 15:55
  • 206

一次心脏滴血漏洞的bug处理过程

一个p2p平台,一次内部安全事件的处理过程,一个关乎投资人利益的网络投资平台,一个无知者无畏的年代。口口声声对外宣称安全、可靠、高收益、……...
  • foryouslgme
  • foryouslgme
  • 2016年06月15日 11:53
  • 1367

OpenSSl HeartBleed 漏洞分析及验证

前段时间写的漏洞的分析报告
  • code_AV
  • code_AV
  • 2014年04月17日 15:06
  • 1196

HeartBleed漏洞详解与利用

看一下流传的Python利用脚本。 #!/usr/bin/python # Quick and dirty demonstration of CVE-2014-0160 by ...
  • aqzwss
  • aqzwss
  • 2015年06月02日 17:07
  • 1704
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)
举报原因:
原因补充:

(最多只允许输入30个字)