本文详细分析了2014年出现的OpenSSL HeartBleed漏洞,该漏洞允许攻击者远程读取服务器内存中的敏感信息。受影响的版本包括1.0.1f和1.0.2-beta,而1.0.1g及更高版本不受影响。建议管理员升级到安全版本并更换私钥。同时,提供了多个POC测试网址和Snort规则检测方法,以帮助验证漏洞存在与否。
CVE-2014-0160漏洞背景
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。
在目前已有的资料中,国内外同行已经称本漏洞为 “击穿心脏”、“毁灭级”、“今年最严重”的漏洞。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。
OpenSSL受影响版本的分布
根据已经公开的信息,该漏洞影响分布情况如下。
1、OpenSSL 1.0.1f (受影响)
2、OpenSSL 1.0.2-beta (受影响)
3、OpenSSL 1.0.1g (不受影响)
4、OpenSSL 1.0.0 branch (不受影响)
5、OpenSSL 0.9.8 branch (不受影响)
处置建议如下
3.1 针对网络管理员,可以做的事情包括
鉴于本漏洞的严重程度,如果确定本漏洞存在,对一般性的网络服务者,暂停服务进行处置是一种较好的应对策略。
如果确定本漏洞存在,又必须保证服务不能停止,可以在漏洞修补过程中,暂时停止https服务,改用http服务,但这会带来相关认证信息明文传输的风险,具体利害需要做出谨慎的判断权衡。
具体修补方式为:
OpenSSL版本升级到最新的1.0.1g
重新生成你的私钥
请求和替换SSL的证书
也可以使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块,最新版本升级地址为:https://www.openssl.org/source/. (OpenSSL官方)
3.2 针对普通网络用户,我们郑重提出的建议包括
鉴于本漏洞的严重程度,在不能确定你所网站和服务修补了本漏洞的情况下,在未来2~3天内(2014年4月9日日起)不登陆,不操作是一种较好的应对策略(这些操作包括网购、网银支付等)。
如果你必须进行操作,可以关注这些网站和服务的修改情况。
一些手机客户端的登陆,是对SSL的封装,因此手机登录也不安全。
其他安全企业团队会公布目前仍有问题的站点、或没有问题的站点情况,请予以关注。
分析与验证
目前该漏洞的利用和验证脚本已经可以被广泛获取,地址包括。
http://fi****o.io/Heartbleed/ (web测试页面)
http://s3. ****guin.org/ssltest.py (python脚本)
http:// **.* u u.com/s/1nt3BnVB (python脚本)
尽管从安全团队的角度,我们不适宜明文传播这些地址,但我们必须提醒用户的是,几乎所有的攻击者都已经拥有了相关资源,在过去24小时内,这一漏洞已经遭到了极为广泛的探测和尝试。相信大多数有漏洞的站点均遭到了不止一次的攻击。
鉴于该漏洞的严重程度和攻击爆发事件,我们不得不打破搭建环境,测试验证的管理,
在第一时间,选择相对“轻量级”的网站做出直接验证,以分析其实际后果敏感信息。通过网络中已有的测试方法,我们寻找到几个存在问题的网站进行分析,为了避免行为失当,我们没有选择与金融、交易相关的站点。
存在问题的网站地址:
Ap***.*****.gov.cn (测试时间为2014-04-09 01:00)
my-****.in (测试时间为2014-04-09 01:10)
www.shu****.cn (测试时间为2014-04-09 01:15)
git****.com (测试时间为2014-04-09 01:20)
feng*****.com (测试时间为2014-04-09 01:30)
获取回来的相关信息情况如下:
最低0.47元/天 解锁文章
3141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
