登录  免费注册
当前位置:首页 > 漏洞详细信息

OpenSSL TLS和DTLS扩展包处理外界读内存泄露漏洞

 关注(0) 报送者:广东分中心
CNVD-ID CNVD-2014-02175
发布时间 2014-04-08
危害级别 高 (AV:N/AC:L/Au:N/C:C/I:P/A:P)
影响产品 Openssl Openssl 1.0.1(<1.0.1g)
BUGTRAQ ID 66690
其他 ID OSVDB:105465
CVE ID CVE-2014-0160
漏洞描述 OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。

OpenSSL TLS和DTLS扩展包处理存在外界读内存泄露漏洞。由于程序未能正确处理Heartbeart扩展包,允许远程攻击者可以通过制作的数据包,读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。
仅OpenSSL的1.0.1及1.0.2-beta版本受到影响,包括:1.0.1f及1.0.2-beta1版本。
参考链接 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
http://osvdb.com/show/osvdb/105465
http://heartbleed.com/
http://www.wooyun.org/bugs/wooyun-2014-055932
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/
漏洞发现者 Neel Mehta - Google Security Team
厂商补丁 OpenSSL TLS和DTLS扩展包处理外界读内存泄露漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2014-04-08
收录时间 2014-04-08
更新时间 2014-04-08
漏洞附件 (无附件)
  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论