当前位置: 首页 > 网络安全 > 监测预警 > 正文

关于OpenSSL存在内存泄露高危漏洞的安全公告

发布日期:2014-04-08预览:

安全公告编号:CNTA-2014-0012

4月8日,国家信息安全漏洞共享平台CNVD收录了OpenSSL存在的一个内存泄露高危漏洞(CNVD编号:CNVD-2014-02175,对应CVE-2014-0160)。攻击者利用漏洞可以读取系统的内存数据,从而获得密钥、用户账号密码和cookies等敏感信息,对目前各类基于OpenSSL的服务器应用安全构成严重的威胁。具体情况通报如下:

一、漏洞情况分析

OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。漏洞与OpenSSL TLS/DTLS传输层安全协议heartbeat扩展组件(RFC6520)相关,因此漏洞又被称为“heartbleed bug”(中文名称:“心血”漏洞)。CNVD测试结果表明,该漏洞无需任何特权信息或身份验证,就可以获得X.509证书的私钥、用户名与密码、cookies等信息,进一步可直接从服务提供商和用户通讯中窃取聊天工具消息、电子邮件以及重要的商业文档和通信等私密数据。

二、漏洞影响范围

CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本。目前,根据CNVD合作伙伴WOOYUN网站以及相关白帽子的测试结果,一些大型互联网企业的网站服务器受到影响。由于OpenSSL还会应用到一些VPN、邮件、即时聊天等类型的服务器上,因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势。

三、漏洞处置建议

目前,OpenSSL 1.0.1g已修复该漏洞。CNVD建议相关用户及时下载使用。如无法及时升级,可参考openssl官方建议重新编译加上-DOPENSSL_NO_HEARTBEATS。

相关安全公告链接参考如下:

http://www.**.org.cn/flaw/show/CNVD-2014-02175 (其中,**表示cnvd)

http://web.**.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160http://osvdb.com/show/osvdb/105465 (其中,**表示nvd)

http://**.com/ (其中,**表示heartbleed)

http://www.**.org/bugs/wooyun-2014-055932 (其中,**表示wooyun)

上一条:关于Internet Explorer VGX.DLL远程代码执行漏洞的安全公告