登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于OpenSSL存在内存泄露高危漏洞的安全公告

2014-04-08 18:17:36
安全公告编号:CNTA-2014-0012

4月8日,国家信息安全漏洞共享平台CNVD收录了OpenSSL存在的一个内存泄露高危漏洞(CNVD编号:CNVD-2014-02175,对应CVE-2014-0160)。攻击者利用漏洞可以读取系统的内存数据,从而获得密钥、用户账号密码和cookies等敏感信息,对目前各类基于OpenSSL的服务器应用安全构成严重的威胁。具体情况通报如下:

一、漏洞情况分析

OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。漏洞与OpenSSL TLS/DTLS传输层安全协议heartbeat扩展组件(RFC6520)相关,因此漏洞又被称为“heartbleed bug”(中文名称:“心血”漏洞)。CNVD测试结果表明,该漏洞无需任何特权信息或身份验证,就可以获得X.509证书的私钥、用户名与密码、cookies等信息,进一步可直接从服务提供商和用户通讯中窃取聊天工具消息、电子邮件以及重要的商业文档和通信等私密数据。

二、漏洞影响范围

CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本。目前,根据CNVD合作伙伴WOOYUN网站以及相关白帽子的测试结果,一些大型互联网企业的网站服务器受到影响。由于OpenSSL还会应用到一些VPN、邮件、即时聊天等类型的服务器上,因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势。

三、漏洞处置建议

目前,OpenSSL 1.0.1g已修复该漏洞。CNVD建议相关用户及时下载使用。如无法及时升级,可参考openssl官方建议重新编译加上-DOPENSSL_NO_HEARTBEATS。

相关安全公告链接参考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160http://osvdb.com/show/osvdb/105465

http://heartbleed.com/

http://www.wooyun.org/bugs/wooyun-2014-055932

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论