OpenSSL爆出严重bug漏洞 Heartbleed bug CVE-2014-0160

最新推荐文章于 2024-03-02 09:21:26 发布
最新推荐文章于 2024-03-02 09:21:26 发布
阅读量358 收藏
点赞数
分类专栏: OPENSSL 文章标签: OpenSSL bug Heartbleed
OpenSSL v1.0.1 到 1.0.1f 中发现了一个非常严重 bug(CVE-2014-0160),该 bug 允许攻击者读取存在 bug 的系统的 64kb 处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。攻击者可以利用该 bug 窃聼通信,直接从服务和用户窃取数据。
  OpenSSL 已经发布了1. 0.1g 修正 bug,Debian 发行版也在半小时修复了 bug,Fedora 发布了一个权宜的修正方案。
  该 bug 是在 2011 年引入到 OpenSSL 中,使用 OpenSSL 0.9.8 的发行版不受影响,但 Debian Wheezy、Ubuntu 12.04.4、 Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4 和 NetBSD 5.0.2 之后的版本都受到影响。如果你运行存在该 bug 的系统,那么最好废除所有密钥。

更多介绍:http://news.cnblogs.com/n/204981/

在线监测网站:
http://possible.lv/tools/hb/

python测试代码:
http://static.3001.net/upload/20140408/13969470717300.zip
iteye_129
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(CVE-2014-0160) OpenSSL 心脏滴血漏洞
weixin_45253622的博客
05-21 3337
Heartbleed 心脏出血(英语:Heartbleed),也简称为心血漏洞,是一个出现在加密程序库OpenSSL安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过滤,即可以读取的数据比应该允
heartbleed.js:openssl Heartbleed bug(CVE-2014-0160) 检查 Node.js
06-09
heartbleed.js 针对 Node.js 的 openssl Heartbleed 错误检查 检查结果 {"code":0,"data":"1803021003020ff0d8030253435b909d9b720bbc0cbc2b92a84897cfbd3904cc160a8503909..."} code: 0易受攻击。 (存在漏洞) code: 1不易受攻击。 (不存在漏洞) 演示 npm install heartbleed-check var heartbleed = require ( 'heartbleed-check' ) ; app . get ( '/:domain/:port' , function ( req , res ) { heartbleed . doCheck ( req . param ( 'domain' ) , req .
CVE-2014-0160OpenSSL 心脏出血漏洞
box
07-26 533
CVE-2014-0160OpenSSL 心脏出血漏洞 一、漏洞简介 Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。 二、漏洞影响 OpenSSL 1.0.2-betaOpenSSL 1.0.1 – OpenSSL 1.0.1f 三、复
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解(小白可懂,简单详细)
最新发布
Innocence_0的博客
03-02 1816
靶机:centos7 192.168.139.136攻击机:kali 192.168.139.129确保两台测试机网络能通。
心脏出血漏洞CVE-2014-0160
EC_Carrot的博客
07-01 255
漏洞背景 OpenSSLOpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞,该漏洞源于当处理Heartbeat Extension数据包时,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。以下版本的OpenS
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041)是一个严重安全漏洞,需要紧急升级 OpenSSH 和 OpenSSL 到最新版本。通过按照上述步骤升级,能够有效地解决该漏洞,保护服务器的安全和稳定性。 五、结论 OpenSSH 资源...
心脏滴血漏洞——CVE-2014-0160
qq_59359593的博客
06-08 916
心脏出血是OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。利用该漏洞,攻击者可以远程读取服务器内存中64K的数据,获取内存中的敏感信息。
heartbleed-PoC:窃听漏洞利用以检索敏感信息CVE-2014-0160
05-09
令人流血的PoC 使用服务器进行尝试的攻击的示例示例。 首先,我阅读了关于该主题的两个最佳解释: 开发 漏洞利用首先将握手发送到服务器cloudflarechallenge.com,以创建与tls的安全连接。 然后功能hit_hb(s)发送一个typcall心跳请求: hb = h2bin(''' 18 03 02 00 03 01 40 00 ''') 心跳(bf)通话说明: 18:心跳记录03 02:TLS版本00 03:长度01:听见要求40 00:有效载荷长度16384字节检查RFC6520 “ HeartbeatMessage的总长度不得超过2 ^ 14”如果我们输入FF FF-> 65535,我们将收到4个长度为16384字节的paquet 我们等待服务器的响应,然后解包tls数据包的5个字节(标头) (content_type, version, length)
OpenSSL Heartbleed漏洞CVE-2014-0160)简要分析和检测
Traxer的学习之路
03-11 6775
1.漏洞简介CVE官网上有这个漏洞的简要介绍、影响范围以及相关文章的索引:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160。大致的意思就是说openssl在接收到client发送的Heartbeat Packet(心跳包)的处理过程出现问题,导致了处理这个数据包指针之后的最大16KB内存信息泄露。如果是处理某些敏感数据的进程,那
VMware发布Horizon Workspace的OpenSSL Heartbleed漏洞补丁
weixin_34150224的博客
04-16 173
因为大部分的 Horizon Workspace都有机会发布到公网上,因此VMware优先发布了Horizon Workspace的OpenSSL Heartbleed漏洞补丁适用版本:Horizon Workspace Server 1.5.xHorizon Workspace Server 1.8.0Product NameVersionPatch FileChecksu...
心脏出血漏洞复现(CVE-2014-0160
whojoe的博客
06-27 420
心脏出血漏洞复现(CVE-2014-0160)环境搭建漏洞复现参考文章 环境搭建 启动docker systemctl start docker 获取vulhub git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git 进入对应目录 cd vulhub/openssl/heartbleed/ 启动容器 docker-compose up -d 这个过程需要等待,因为下载的一些东西不是国内源,比较慢 好吧,我等了一个小时
升级OpenSSL修复高危漏洞
黑猫警长博客
01-05 6592
1、  查看操作系统版本及OpenSSL版本 [root@cloud ~]# uname -a [root@cloud ~]# openssl version 2、下载最新的openssl源码包:https://www.openssl.org/source/ [root@cloud ~]# wget -c https://www.openssl.org/source/opens
OpenSSL心脏滴血漏洞CVE-2014-0160
yangbz123的博客
11-10 9652
一、漏洞介绍 2014年,互联网安全协议OpenSSL爆出存在一种十分严重漏洞。 在黑客社区,被命名为“心脏滴血” ,黑客通过利用该漏洞,可以获取到%30开头的https网站的用户名和密码,漏洞还影响到使用OpenSSL加密的产品。 二、漏洞分析 OpenSSL是通过加密算法来保证数据通信的私密性。 加密算法: 对称加密算法(AES、DES、3DES) 非对称加密算法(RSA/DSA/SHA/MD5) 而OpenSSL是使用公开的非对称加密算法RSA来加密的。 此次漏洞的成因是OpenSSL Heart
CVE-2014-0160-心脏滴血漏洞
Amdy_amdy的博客
12-16 3223
心脏滴血漏洞-CVE-2014-0160 漏洞介绍 2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。 利用该漏洞
OpenSSL命令注入漏洞CVE-2022-1292)
07-28
回答: OpenSSL命令注入漏洞CVE-2022-1292)是指在OpenSSL 1.0.2版本中存在的漏洞。为了修复这个漏洞,你需要将OpenSSL 1.0.2升级到SSL 3版本。首先,你可以使用以下命令查看OpenSSL的版本信息:\[1\] ``` openssl version ``` 然后,你可以从OpenSSL官方网站下载SSL 3的升级包。下载地址可以在官方网站上找到。\[2\]你可以使用以下命令下载升级包: ``` wget https://www.openssl.org/source/openssl-3.0.5.tar.gz ``` 下载完成后,解压升级包并进入解压后的目录: ``` tar -zxvf openssl-3.0.5.tar.gz cd openssl-3.0.5/ ``` 接下来,你可以使用以下命令进行编译和安装: ``` ./config shared zlib make make install ``` 在安装之前,建议备份原始文件。安装完成后,你可以添加新的OpenSSL软连接,并将编译后的库文件写入so库配置文件。具体操作可以参考相关文档或官方指南。\[2\] 请注意,升级OpenSSL可能会对系统产生影响,请确保在操作之前备份重要数据,并在升级过程中谨慎操作。 #### 引用[.reference_title] - *1* *2* *3* [openssl 漏洞升级 (CVE-2015-4000/CVE-2022-1292)](https://blog.csdn.net/qq_44637753/article/details/126829820)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值