Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)

转载 2016年06月01日 01:52:11

/****************************************************************************************************************************************/

在我的答辩PPT研究背景中,我想以heartbleed做为一个引子,引出我的论文的研究意义:确保数据安全的重要性。

既然要以此作为论文的开端,那么我首先需要了解heartbleed这一漏洞的机制。

/****************************************************************************************************************************************/


关于OpenSSL存在高危漏洞可被利用发起大规模攻击的情况通报(49日结果)


2014-04-09 17:09:04
安全公告编号:CNTA-2014-0013


48日,国家信息安全漏洞共享平台(CNVD)对OpenSSL存在的一个内存信息泄露高危漏洞进行分析,利用该漏洞可窃取服务器内存当前存储的用户数据。由于OpenSSL应用极为广泛,包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响,直接危及互联网用户财产和个人信息安全。具体情况通报如下:


一、  漏洞情况分析


OpenSSL是一款开放源码的SSL服务软件,用来实现网络通信的加密和认证。漏洞与OpenSSL TLS/DTLS传输层安全协议扩展组件(RFC6520)相关,存在于ssl/dl_both.c文件的心跳部分(heartbeat)。当攻击者向服务器发送一个特殊构造的数据包,可导致内存存储数据输出。远程攻击者可以利用漏洞读取存在相关服务器内存中多达64K字节的数据。根据上述过程,目前漏洞在互联网被称为“heartbleed bug”,中文名称叫做心脏出血““击穿心脏””等。
CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户X.509证书私钥、实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。


二、漏洞影响范围

CNVD对该漏洞的综合评级为高危。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暂不受影响。综合各方测试结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也受到影响。
根据CNVD成员单位——知道创宇公司以及奇虎360公司提供的抽样检测数据,国内网站有2.3万个(占其抽样的1.5%)和1.1万个(占其抽样的1.0%)服务器主机受到影响。目前互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。
三、漏洞处置建议
目前,OpenSSL官方发布的1.0.1g版本已修复该漏洞。为防范可能的攻击,CNVD建议采取如下措施:
(一)网站服务提供商及时下载升级。如无法及时升级,可参考OpenSSL官方建议重新编译,加上-DOPENSSL_NO_HEARTBEATS选项禁止心跳部分的功能;
(二)网站服务商在未及时升级前,建议采用第三方网站安全防护平台或专用防护设备对服务器提供防护;
(三)互联网用户近期应注意网上应用(包括手机APP)安全风险,如发现网银证书、账号和密码被非法使用、篡改的情况,应及时向服务商或CNVD报告。


相关连接:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/


维基百科:https://en.wikipedia.org/wiki/Heartbleed

立即止血!Heartbleed漏洞DIY檢測工具總整理:http://www.ithome.com.tw/news/86657

相关文章推荐

heartbleed 心脏流血漏洞原理及补救方法

When I wrote about the GnuTLS bug, I said that this isn't the last severe TLS stack bug we'd see. ...
  • sdulibh
  • sdulibh
  • 2014年12月28日 14:40
  • 744

升级OpenSSL修复高危漏洞Heartbleed

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)...

Struts2高危漏洞2.3.15.3

  • 2016年03月15日 16:58
  • 2.28MB
  • 下载

Heartbleed心脏出血漏洞靶场搭建

1. 简介   OpenSSL心脏出血漏洞原理是OpenSSL引入心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制作为TLS的扩展实现,但在代码中包括TLS(TCP)和DTLS(UD...

FCKEditor曝高危漏洞 360首发临时解决方案

近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/2...

百度手机卫士,简单粗暴至极(关于Stagefright高危漏洞)

以色列移动信息安全公司Zimperium研究人员约舒亚·德雷克(JoshuaDrake)在安卓系统中发现了一系列stagefright安全漏洞,影响当前约95%的Android设备。只需简单的一条彩信...

Redis高危漏洞,数据恢复

2015年10月10日以来,很多redis服务遭受攻击,如果及时发现,redis中的数据是有机会恢复的, 但国内某云服务商竞以此要求用户付费去恢复,实在是无法忍受,我本人平时无写blog的习惯,但还是...

【ORACLE】Oracle11g,12c 高危漏洞

【性质】高危漏洞 【危害】仅有查询权限的用户可以对数据进行增、删、改操作 【影响范围】广泛,包括11.2.0.3,11.2.0.4,12.1等版本(10g版本不包含)。 【修复】2014年7月的CPU...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)
举报原因:
原因补充:

(最多只允许输入30个字)