OpenSSL心脏滴血漏洞(CVE-2014-0160)验证

已于 2022-04-08 16:26:34 修改
阅读量936 收藏 5
点赞数 1
分类专栏: 漏洞验证 文章标签: web安全
于 2022-04-08 16:26:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023403/article/details/124043886
版权

OpenSSL心脏滴血漏洞(CVE-2014-0160)验证

漏洞描述

OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。

漏洞原理

OpenSSL 是一个安全协议,它可以对用户与大多数网络服务所提供的服务器之间的通信进行加密。因为很多网站(例如google等)采用的是 OpenSSL 来保护敏感的用户信息,但是OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥,用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。

影响版本

  • OpenSSL 1.0.2-beta, OpenSSL 1.0.1 - OpenSSL 1.0.1f

Nmap验证

命令 nmap -sV -p 443 --script ssl-heartbleed.nes xxx.com(域名或者IP)

-sV:探测打开端口对应服务的版本信息
-p :指定端口扫描
–script ssl-heartbleed.nes:验证CVE-2014-0160 OpenSSL Heartbleed bug

在这里插入图片描述

扫描后显示有ssl-heartbleed VUNERABLE,证明存在该漏洞。

修复建议

OpenSSL官方已经发布补丁,可以通过升级修复漏洞,或者使用-DOPENSSL_NO_HEARTBEATS参数重新编译受影响版本的OpenSSL以禁用Heartbeat模块。

看我的眼色行事
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HeartbleedScanner汉化版心脏出血漏洞疲劳扫描器
01-19
HeartbleedScanner 汉化版心脏出血漏洞疲劳扫描器 心脏滴血漏洞检查工具
比想象中更恐怖!OpenSSL“心血”漏洞深入分析
小饼仙子的专栏
11-11 956
士 @ WEB安全 2014-04-10 共 24104 人围观,发现 19 个不明物体 收藏该文 作者: yaoxi 原文出处 http://blog.wangzhan.360.cn/ 近日,OpenSSL爆出本年度最严重的安全漏洞,此漏洞在黑客社区中被命名为“心脏出血”漏洞。360网站卫士安全团队对该漏洞分析发现,该漏洞不仅是涉及到https开头的网址,还
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
qq_50854662的博客
08-15 2003
心脏滴血漏洞详解及利用--HeartBleed With OpenSSL
linux ssh7.4 升级至9.5(安全扫描漏洞处理)
最新发布
cc123489ll的博客
05-22 862
ssh -V点击进行下载点击进行下载点击[telnet-server-0.17-66.el7.x86_64.rpm “telnet-server-0.17-66.el7.x86_64.rpm”)进行下载。
CVE-2014-0160-心脏滴血漏洞
Amdy_amdy的博客
12-16 3223
心脏滴血漏洞-CVE-2014-0160 漏洞介绍 2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。 利用该漏洞
OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解(小白可懂,简单详细)
热门推荐
qq_62803993的博客
01-26 1万+
OpenSSL心脏出血”漏洞的问题出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后读取这个包的内容(data),并返回一个包含有请求包内容的响应包。请求包的内容(data)中包含有包的类型(type)和数据长度等信息。
心脏滴血漏洞CVE-2014-0160
weixin_39664643的博客
01-18 1265
心脏出血漏洞CVE-2014-0160) 利用范围 漏洞编号: CVE-2014-0160 发现人员: 安全公司Codenomicon和谷歌安全工程师 漏洞简述: OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。 影响版本: OpenSS
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
heartbleed.js:openssl Heartbleed bug(CVE-2014-0160) 检查 Node.js
06-09
针对 Node.js 的 openssl Heartbleed 错误检查 检查结果 {"code":0,"data":"1803021003020ff0d8030253435b909d9b720bbc0cbc2b92a84897cfbd3904cc160a8503909..."} code: 0易受攻击。 (存在漏洞) code: 1不易受...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
OpenSSL拒绝服务漏洞 (CVE-2022-0778) poc证书
03-24
下载后执行 openssl x509 -in 2022_0778.pem -inform DER -text -noout 或者在自己产品证书管理界面上传证书验证 参考https://github.com/drago-96/CVE-2022-0778 制作证书验证
patch-openssl-CVE-2014-0160:使用 ansible 修补 openssl #heartbleed
07-09
补丁openssl-CVE-2014-0160 使用 ansible 修补 openssl #heartbleed 用法 : pip install ansible ansible-playbook -i your_inventory_file patch-openssl-CVE-2014-0160.yml your_inventory_file 只需要包含您...
心脏滴血漏洞
夜行者的博客
02-18 1955
检测方法: 1)打开心脏滴血检测工具,输入IP与端口进行扫描,若扫描结果中有则存在心脏滴血漏洞。 2)使用heartbleed.py或kaillinux中工具进行测试。 3)使用nmap进行扫描,命令如下:nmap-sV-p 443 --script ssl-heartbleed.nsex.x.x.x 解决方法: 升级openssl版本 ...
心脏滴血漏洞(Heartbleed):网络安全的致命威胁
博客
09-02 1304
心脏滴血漏洞是由于OpenSSL库中的一个缺陷造成的。OpenSSL是一个广泛使用的加密库,用于保护网络通信的安全性。心脏滴血漏洞的存在使得攻击者可以在未经授权的情况下访问服务器内存中的敏感信息,如私钥、用户名和密码等。这个漏洞的影响范围非常广泛,几乎所有使用OpenSSL的服务器都受到了影响。据估计,超过50%的互联网服务器受到了心脏滴血漏洞的威胁。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是一组用于保护网络通信的加密协议。
IIS PUT漏洞&心脏滴血&任意文件读取与下载
niqiu320的博客
04-24 1133
IIS PUT漏洞
心脏滴血漏洞——CVE-2014-0160
qq_59359593的博客
06-08 914
心脏出血是OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。利用该漏洞,攻击者可以远程读取服务器内存中64K的数据,获取内存中的敏感信息。
OpenSSL命令注入漏洞CVE-2022-1292)
07-28
回答: OpenSSL命令注入漏洞CVE-2022-1292)是指在OpenSSL 1.0.2版本中存在的漏洞。为了修复这个漏洞,你需要将OpenSSL 1.0.2升级到SSL 3版本。首先,你可以使用以下命令查看OpenSSL的版本信息:\[1\] ``` openssl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值