4月8日,国家信息安全漏洞共享平台CNVD收录了OpenSSL存在的一个内存泄露高危漏洞(CNVD编号:CNVD-2014-02175,对应CVE-2014-0160)。攻击者利用漏洞可以读取系统的内存数据,从而获得密钥、用户账号密码和cookies等敏感信息,对目前各类基于OpenSSL的服务器应用安全构成严重的威胁。具体情况通报如下:
一、漏洞情况分析
OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。漏洞与OpenSSL TLS/DTLS传输层安全协议heartbeat扩展组件(RFC6520)相关,因此漏洞又被称为“heartbleed bug”(中文名称:“心血”漏洞)。CNVD测试结果表明,该漏洞无需任何特权信息或身份验证,就可以获得X.509证书的私钥、用户名与密码、cookies等信息,进一步可直接从服务提供商和用户通讯中窃取聊天工具消息、电子邮件以及重要的商业文档和通信等私密数据。
二、漏洞影响范围
CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本。目前,根据CNVD合作伙伴WOOYUN网站以及相关白帽子的测试结果,一些大型互联网企业的网站服务器受到影响。由于OpenSSL还会应用到一些VPN、邮件、即时聊天等类型的服务器上,因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势。
三、漏洞处置建议
目前,OpenSSL 1.0.1g已修复该漏洞。CNVD建议相关用户及时下载使用。如无法及时升级,可参考openssl官方建议重新编译加上-DOPENSSL_NO_HEARTBEATS。
相关安全公告链接参考如下:
http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160http://osvdb.com/show/osvdb/105465