Heartbleed第一篇：“心脏流血”高危漏洞情况通报（4月9日结果）

/****************************************************************************************************************************************/

在我的答辩PPT研究背景中，我想以heartbleed做为一个引子，引出我的论文的研究意义：确保数据安全的重要性。

既然要以此作为论文的开端，那么我首先需要了解heartbleed这一漏洞的机制。

/****************************************************************************************************************************************/

关于OpenSSL存在高危漏洞可被利用发起大规模攻击的情况通报（4月9日结果）

2014-04-09 17:09:04
安全公告编号:CNTA-2014-0013

4月8日，国家信息安全漏洞共享平台（CNVD）对OpenSSL存在的一个内存信息泄露高危漏洞进行分析，利用该漏洞可窃取服务器内存当前存储的用户数据。由于OpenSSL应用极为广泛，包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响，直接危及互联网用户财产和个人信息安全。具体情况通报如下：

一、  漏洞情况分析

OpenSSL 是一款开放源码的 SSL 服务软件，用来实现网络通信的加密和认证。漏洞与 OpenSSL TLS/DTLS 传输层安全协议扩展组件 (RFC6520) 相关，存在于 ssl/dl_both.c 文件的心跳部分 (heartbeat) 。当攻击者向服务器发送一个特殊构造的数据包，可导致内存存储数据输出。远程攻击者可以利用漏洞读取存在相关服务器内存中多达 64K 字节的数据。根据上述过程，目前漏洞在互联网被称为 “heartbleed bug” ，中文名称叫做 “ 心脏出血 ” 、 ““ 击穿心脏 ”” 等。
CNVD 组织完成的多个测试实例表明，根据对应 OpenSSL 服务器承载业务类型，攻击者一般可获得用户 X.509 证书私钥、实时连接的用户账号密码、会话 Cookies 等敏感信息，进一步可直接取得相关用户权限，窃取私密数据或执行非授权操作。

二、漏洞影响范围

CNVD 对该漏洞的综合评级为 “ 高危 ” 。受该漏洞影响的产品包括： OpenSSL 1.0.1-1.0.1f 版本，其余版本暂不受影响。综合各方测试结果，国内外一些大型互联网企业的相关 VPN 、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响，此外一些政府和高校网站服务器也受到影响。
根据 CNVD 成员单位 —— 知道创宇公司以及奇虎 360 公司提供的抽样检测数据，国内网站有 2.3 万个（占其抽样的 1.5% ）和 1.1 万个（占其抽样的 1.0% ）服务器主机受到影响。目前互联网上已经出现了针对该漏洞的攻击利用代码，预计在近期针对该漏洞的攻击将呈现激增趋势，对网站服务提供商以及用户造成的危害将会进一步扩大。
三、漏洞处置建议
目前， OpenSSL 官方发布的 1.0.1g 版本已修复该漏洞。为防范可能的攻击， CNVD 建议采取如下措施：
（一）网站服务提供商及时下载升级。如无法及时升级，可参考 OpenSSL 官方建议重新编译，加上 -DOPENSSL_NO_HEARTBEATS 选项禁止心跳部分的功能；
（二）网站服务商在未及时升级前，建议采用第三方网站安全防护平台或专用防护设备对服务器提供防护；
（三）互联网用户近期应注意网上应用（包括手机 APP ）安全风险，如发现网银证书、账号和密码被非法使用、篡改的情况，应及时向服务商或 CNVD 报告。

相关连接：

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/

维基百科：https://en.wikipedia.org/wiki/Heartbleed

立即止血！Heartbleed漏洞DIY檢測工具總整理：http://www.ithome.com.tw/news/86657