linux心跳包检测代码_OpenSSL心跳包越界读敏感信息泄漏漏洞

最新推荐文章于 2024-05-21 23:23:05 发布
最新推荐文章于 2024-05-21 23:23:05 发布
阅读量237 收藏
点赞数
文章标签: linux心跳包检测代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26969967/article/details/114322266
版权

发布日期:2014-04-10

CVE ID:CVE-2014-0160

受影响的软件及系统:

====================

OpenSSL 1.0.1-OpenSSL 1.0.1f

OpenSSL 1.0.2-beta

OpenSSL 1.0.2-beta1

未受影响的软件及系统:

======================

OpenSSL 0.9.8

OpenSSL 1.0.0

OpenSSL 1.0.1g

OpenSSL 1.0.2-beta2

综述:

======

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

由于OpenSSL在处理TLS心跳扩展中没有进行边界检查,这可导致64K的内存信息泄漏给已连接的客户端或服务器。只有OpenSSL的1.0.1及1.0.2-beta系列版本受到影响,包括:1.0.1f及1.0.2-beta1版本。

13a145c40c7d1957d82d279e2efe5f7a.png

鉴于此漏洞的严重程度,建议正在使用受影响版本的用户立刻升级到最新版本。

分析:

======

TLS心跳由一个请求包组成,其中包括有效载荷(payload),通信的另一方将读取这个包并发送一个响应,其中包含同样的载荷。在处理心跳请求的代码中,载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值,从而导致越界读,造成了敏感信息泄漏。

泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。

解决方法:

==========

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商状态:

==========

Openssl已经发布了Openssl 1.0.1g修复此问题,:

厂商安全公告:

https://www.openssl.org/news/secadv_20140407.txt

对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁,请尽快升级。

附加信息:

==========

1. https://www.openssl.org/news/secadv_20140407.txt

2. http://heartbleed.com/

OpenSSL 的详细介绍:请点这里

OpenSSL 的下载地址:请点这里

相关阅读:

0b1331709591d260c1c78e86d0c51c18.png

匹夫无不报之仇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL/TLS的Heartbeat 扩展
liuxb1223的专栏
06-27 4257
本文主要从下面几个点讲解: 1、Heartbleed漏洞漏洞发生的原因 2、SSL/TLS/DTLS协议简单的认识 3、TLS的扩展Heartbeat协议认识 4、heartbeat协议实现代码 5、实现一个网站支持SSL协议(生成一个伪证书)       1、Heartbleed漏洞漏洞发生的原因   Heartbleed漏洞藏身于OpenSSL的TLS H
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供升级脚本及升级所用安装包供大家参考
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
皮皮虾的博客
07-26 1万+
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 详细描述 TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。 TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 解决办法 建议:避免使用DES算法 1、OpenSSL Security Advisory [22 Sep 2016] 链接:https://www.openssl.org/news/se
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
最新发布
冰恋云的专栏
05-21 3218
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解
Al345__的博客
06-19 2172
OpenSSL(英语:Open Secure Sockets Layer。开放式安全套接层协议)在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。
TLS远程信息泄露 心脏滴血 CVE-2014-0160 漏洞复现
Senimo
05-03 1229
CVE-2014-0160 心脏滴血 TLS远程信息泄露漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接六、利用工具 一、漏洞描述 Heartbleed 漏洞是流行的 OpenSSL 加密软件库中的一个严重漏洞。该漏洞允许在正常情况下窃取 SSL/TLS 加密保护的信息。SSL/TLS 为 web、电子邮件、即时消息(IM)和一些虚拟专用网络(vpn)等应用程序提供了 Internet 上的通信安全和隐私。 Heartbleed 漏洞允许 Internet 上的任何
Alg.rar_3des openssl_OPENSSL 3DES_openssl rsa_openssl测试_openssl
09-24
本文将深入探讨标题和描述中提到的“Alg.rar_3des openssl_OPENSSL 3DES_openssl rsa_openssl测试_openssl测”相关知识点,主要围绕3DES(Triple DES)加密算法和RSA公钥加密算法在OpenSSL库中的实现及测试。...
demo_openssl_api.tar.gz_DEMO_OPENSSL DEMO_SSL实现_linux openssl_li
09-23
Linux环境下OpenSSL API的DEMO实践与SSL实现详解》 在网络安全日益重要的今天,SSL(Secure Sockets Layer)协议及其后续版本TLS(Transport Layer Security)已成为数据加密传输的基石,广泛应用于Web服务器、...
OpenSSH_8.8p1_OpenSSL 1.1.1n rpm包
03-30
总之,OpenSSH_8.8p1 和 OpenSSL 1.1.1n 的组合提供了一个安全的环境来处理远程连接,特别是对于那些需要处理敏感信息或提供关键服务的服务器。及时更新和正确配置OpenSSH是保障网络安全的重要步骤。对于任何Linux...
opensslopenssl-devel离线rpm安装包.zip_OPENSSL 库_openssl_openssl-deve
09-21
值得注意的是,尽管这里的版本是1.0.1e,但OpenSSL已经更新到了更高级别的版本,如1.1.x系列,以修复安全漏洞并引入新的特性。因此,在可能的情况下,应该尽量使用最新版本的OpenSSL,以获得最佳的安全性和性能。 ...
Openssh_Openssl三连包.rar
12-09
对于处理敏感数据的服务器,及时更新OpenSSL至最新版本至关重要,以防止中间人攻击、数据泄露等安全风险。 **Zlib 1.2.11:** Zlib是一个无损数据压缩库,广泛应用于各种软件和操作系统中,包括网络传输、文件存储...
一个检测OpenSSL心脏出血漏洞的Python脚本分享
12-25
什么是SSL? SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。网站采用此加密技术后,第三方无法取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。 SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。 什么是“心脏出血”漏洞? SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。 谁发现的这个问题? 该漏洞是由Codenomico
linux下利用文件锁实现心跳包
11-30
详细介绍文件锁的实现,和心跳包怎么实现。
常见主机漏洞及修复方案
热门推荐
Amdy_amdy的博客
09-20 2万+
1、openssh累积型漏洞  高  cve-2017-10012 修复意见: 升级版本至>=openssh-5.3p1-122.el6   2、NTP累积型漏洞  高 修复意见: 稳定版请尽快安装ntp-4.2.8p4及以后版本  开发版请尽快安装ntp-4.3.77及以后版本                                                  ...
漏洞复现-OpenSSL
aming小老弟
10-08 936
渗透
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
qq_50854662的博客
08-15 1999
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
Heartbleed心脏出血漏洞原理分析
fly小灰灰的专栏
01-14 2万+
1. 概述   OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥,用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中取多达64KB的数据。2. 数据包分析   SSL(Secur
typedef enum { HCF_ALG_ECC_224 = 1, HCF_ALG_ECC_256, HCF_ALG_ECC_384, HCF_ALG_ECC_521, HCF_ALG_AES_128, HCF_ALG_AES_192, HCF_ALG_AES_256, HCF_ALG_3DES_192, HCF_ALG_MODE_NONE, HCF_ALG_MODE_ECB, HCF_ALG_MODE_CBC, HCF_ALG_MODE_CTR, HCF_ALG_MODE_OFB, HCF_ALG_MODE_CFB, HCF_ALG_MODE_CFB1, HCF_ALG_MODE_CFB8, HCF_ALG_MODE_CFB64, HCF_ALG_MODE_CFB128, HCF_ALG_MODE_CCM, HCF_ALG_MODE_GCM, HCF_ALG_NOPADDING, HCF_ALG_PADDING_PKCS5, HCF_ALG_PADDING_PKCS7, // rsa keysize HCF_OPENSSL_RSA_512, HCF_OPENSSL_RSA_768, HCF_OPENSSL_RSA_1024, HCF_OPENSSL_RSA_2048, HCF_OPENSSL_RSA_3072, HCF_OPENSSL_RSA_4096, HCF_OPENSSL_RSA_8192, // rsa cipher padding, HCF_OPENSSL_RSA_PKCS1_PADDING, HCF_OPENSSL_RSA_PKCS1_OAEP_PADDING, HCF_OPENSSL_RSA_PSS_PADDING, // digest HCF_OPENSSL_DIGEST_NONE, HCF_OPENSSL_DIGEST_MD5, HCF_OPENSSL_DIGEST_SHA1, HCF_OPENSSL_DIGEST_SHA224, HCF_OPENSSL_DIGEST_SHA256, HCF_OPENSSL_DIGEST_SHA384, HCF_OPENSSL_DIGEST_SHA512, // primes HCF_OPENSSL_PRIMES_2, HCF_OPENSSL_PRIMES_3, HCF_OPENSSL_PRIMES_4, HCF_OPENSSL_PRIMES_5, } HCF_ALG_PARA_VALUE; 结合上一个进行代码讲解
06-03
这段代码定义了一个枚举类型 `HCF_ALG_PARA_VALUE`,其中列举了多个常量,用于表示不同的参数值。 这些参数值包括了一些加密算法和模式的名称,例如 `HCF_ALG_ECC_224`、`HCF_ALG_AES_128`、`HCF_ALG_MODE_CBC` 等等。同时也包括了 RSA 密钥长度、RSA 填充方式、哈希算法等参数。这些参数的命名方式使用了 `HCF_OPENSSL_` 前缀,表明它们是与 OpenSSL 库相关的。 通过使用这些常量,开发者可以更方便地在代码中使用这些参数值,而不需要直接使用数值。同时,这些常量的命名也更加清晰明了,可以更好地表达参数的含义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值