曾经“心脏出血”的OpenSSL又出事儿了

最新推荐文章于 2023-08-28 15:31:41 发布
最新推荐文章于 2023-08-28 15:31:41 发布
阅读量950 收藏
点赞数
文章标签: openssl
日,安全研究人员发现了OpenSSL的一个新漏洞,可能导致约1150万台HTTPS服务器瘫痪,超过总数的33%。
 

曾经“心脏出血”的OpenSSL又出事儿了(图片来自Yahoo)

  据悉,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,攻击者就能利用这项技术破解服务器的TLS会话信息。

  2015年12月29日,安全研究人员Nimrod Aviram和Sebastian Schinzel首次将该问题报告给了OpenSSL团队,后者随即推送了安全补丁。

  需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥,对二者的通信数据进行破解。

  目前,OpenSSL已经对这一漏洞进行了修补,OpenSSL默认禁用了SSLv2协议,并移除了SSLv2协议的EXPORT系列加密算法。OpenSSL强烈建议,用户停止使用SSLv2协议。

本文来源;http://bbs.ichunqiu.com/thread-9617-1-1.html?from=csdn-shan

jlangqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
心脏滴血漏洞复现(CVE-2014-0160)
qq_39470792的博客
01-08 912
心脏滴血漏洞复现(CVE-2014-0160) 漏洞简介 OpenSSLOpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞,该漏洞源于当处理Heartbeat Extension数据包时,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(...
OpenSSL 心脏滴血漏洞(CVE-2014-0160)
weixin_50217210的博客
12-25 508
当B收到A的请求包后,并没有验证A包的实际长度,而是简单的把请求包中说明的长度当作data的实际长度,于是当请求包中说明的长度与请求包实际长度不同时,问题就产生了。假设A构造一个请求包,它的实际内容长度只有1,而却告诉B它的长度是65535,那么B接收到这个包后就会把A的内容当作65535来处理,其实到这里,问题还不算严重,最严重的问题在,心跳的响应包还需要附带请求包还需要附带请求包的全部内容,这就需要程序做一次将请求包的数据从它所在的内容拷贝到响应包的内存里的操作。(因为攻击者可能通过漏洞获取私钥。
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解(小白可懂,简单详细)
热门推荐
qq_62803993的博客
01-26 1万+
OpenSSL心脏出血”漏洞的问题现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后读取这个包的内容(data),并返回一个包含有请求包内容的响应包。请求包的内容(data)中包含有包的类型(type)和数据长度等信息。
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
qq_50854662的博客
08-15 1987
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
openssl HeartBleed漏洞复现
weixin_54584489的博客
04-11 528
心脏滴血漏洞于2014年被爆攻击者可以通过构造特殊的数据包,远程读取特定服务器内存中64K的数据,获取内存中的敏感信息。因openssl应用广泛,故影响较大。SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。SSL协议的三个特性:① 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
openssl(CVE-2014-0160)心脏出血漏洞复现
m0_62008601的博客
08-02 1544
心脏出血openssl库中的一个内存漏洞,攻击利用这个漏洞可以服务到目标进程内存信息,如其他人的cookie等敏感信息。HeartbleedBug是流行的OpenSSL加密软件库中的一个严重漏洞。此弱点允许在正常情况下窃取受用于保护Internet的SSL/TLS加密保护的信息。SSL/TLS为Web、电子邮件、即时消息(IM)和一些虚拟专用网络(VPN)等应用程序提供Internet上的通信安全和隐私。...
XAMPP下OpenSSL软件“心脏出血”漏洞修复
06-08
心脏出血”(Heartbleed)是2014年发现的一个严重安全漏洞,影响了OpenSSL库的TLS(Transport Layer Security)和DTLS(Datagram TLS)协议的心跳扩展功能。这个漏洞允许攻击者通过网络获取服务器和客户端之间交换...
一个检测OpenSSL心脏出血漏洞的Python脚本分享
12-25
什么是“心脏出血”漏洞? SSL标准包含一个心跳选项,允许SSL连接一端的电脑发一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发恶意心跳信息,欺骗另一端的电脑泄露...
centos7.6编译openssl
最新发布
05-29
"centos7.6编译openssl包" 指的是在CentOS 7.6操作系统环境下,通过源代码编译生成的OpenSSL软件包。OpenSSL是一个开源项目,提供了一套强大的加密库,包含了各种安全协议、SSL/TLS协议以及常用的加密算法,如...
OpenSSL3.0.12
11-12
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 库,用于加密通信、实现网络协议,并提供了各种密码算法、常见的密钥和证书封装管理功能以及 SSL/TLS 协议。OpenSSL 的最新版本是 3.0.12,这是一个重要的...
openssl SM2 密钥解析公钥和私钥
08-07
openssl 中把pem格式的SM2密钥,解析成EC_KEY格式的key,然后解析key中公钥和私钥
心脏滴血漏洞——CVE-2014-0160
qq_59359593的博客
06-08 882
心脏出血OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞,OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。利用该漏洞,攻击者可以远程读取服务器内存中64K的数据,获取内存中的敏感信息。
openssl-心脏滴血漏洞
weixin_46626737的博客
07-02 204
但假如A发了一个实际长度只有100字节的数据包,但是报文数值标明了是60000,当这个包发送到B,B就会返回相应包,除了在内存中复制原来A请求包的100字。该问题现在openssl协议中的传输层安全,主要的原理是A向B发送一个数据包,数据包中除了有实际的头部信息内容等,还有标明了报文长度的数值,这个数。节,还会多余的复制59000字节的内存数据,假如该数据中有敏感数据的话,这就导致了信息泄露。据包发送到B时,B只是傻傻的接收数据包,并返回一个包含A请求包的响应包。
心脏流血(Heartbleed )漏洞详解
yingrenzhe68的专栏
10-02 8436
  2014年4月7日,OpenSSL宣布的OpenSSL 1.0.2-beta及1.0.1系列(除1.0.1g)的所有版本中,在其所实现的TLS心跳扩展存在严重的内存处理错误。它可以被用于让每个心跳包显示应用程序至多64K Byte的内存内容。它的CVE号为CVE-2014-0160。 该漏洞是通过发送一个畸形的心跳请求至服务器,以引起服务器内存响应而引发。由于缺乏边界检查,Ope...
Openssl心脏滴血——CVE-2014-0160
网安小白的博客
08-28 319
openssl心脏滴血漏洞复现全过程
升级openssl包,修复心脏出血漏洞
weixin_33811539的博客
11-26 353
什么是心脏出血漏洞? CVE-2014-0160,心脏出血漏洞,是一个非常严重的 OpenSSL 漏洞。这个漏洞使得攻击者可以从存在漏洞的服务器上读取64KB大小的内存信息。这些信息中可能包含非常敏感的信息,包括用户请求、密码甚至证书的私钥。 据称,已经有攻击者在某宝上尝试使用漏洞读取数据,在读取200次后,获取了40多个用户名和7个密码。 使用如下...
openssl心脏滴血
08-26
OpenSSL心脏滴血(Heartbleed)是一个存在于OpenSSL加密程序<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* [心脏滴血poc]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值