首頁 > 正文

關于OpenSSL存在高危漏洞可被利用發起大規模攻擊的情況通報(4月9日結果)

分享到:
2014年04月09日 00:00 來源:
安全公告編號:CNTA-2014-0013

4月8日,國家信息安全漏洞共享平臺(CNVD)對OpenSSL存在的一個內存信息泄露高危漏洞進行分析,利用該漏洞可竊取服務器內存當前存儲的用戶數據。由于OpenSSL應用極為廣泛,包括政府、高校網站以及金融證券、電子商務、網上支付、即時聊天、辦公系統、郵件系統等諸多服務提供商均受到漏洞影響,直接危及互聯網用戶財產和個人信息安全。具體情況通報如下:

一、 漏洞情況分析

OpenSSL是一款開放源碼的SSL服務軟件,用來實現網絡通信的加密和認證。漏洞與OpenSSL TLS/DTLS傳輸層安全協議擴展組件(RFC6520)相關,存在于ssl/dl_both.c文件的心跳部分(heartbeat)。當攻擊者向服務器發送一個特殊構造的數據包,可導致內存存儲數據輸出。遠程攻擊者可以利用漏洞讀取存在相關服務器內存中多達64K字節的數據。根據上述過程,目前漏洞在互聯網被稱為“heartbleed bug”,中文名稱叫做“心臟出血”、““擊穿心臟””等。

CNVD組織完成的多個測試實例表明,根據對應OpenSSL服務器承載業務類型,攻擊者一般可獲得用戶X.509證書私鑰、實時連接的用戶賬號密碼、會話Cookies等敏感信息,進一步可直接取得相關用戶權限,竊取私密數據或執行非授權操作。

二、漏洞影響范圍

CNVD對該漏洞的綜合評級為“高危”。受該漏洞影響的產品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暫不受影響。綜合各方測試結果,國內外一些大型互聯網企業的相關VPN、郵件服務、即時聊天、網絡支付、電子商務、權限認證等服務器受到漏洞影響,此外一些政府和高校網站服務器也受到影響。

根據CNVD成員單位——知道創宇公司以及奇虎360公司提供的抽樣檢測數據,國內網站有2.3萬個(占其抽樣的1.5%)和1.1萬個(占其抽樣的1.0%)服務器主機受到影響。目前互聯網上已經出現了針對該漏洞的攻擊利用代碼,預計在近期針對該漏洞的攻擊將呈現激增趨勢,對網站服務提供商以及用戶造成的危害將會進一步擴大。

三、漏洞處置建議

目前,OpenSSL官方發布的1.0.1g版本已修復該漏洞。為防范可能的攻擊,CNVD建議采取如下措施:

(一)網站服務提供商及時下載升級。如無法及時升級,可參考OpenSSL官方建議重新編譯,加上-DOPENSSL_NO_HEARTBEATS選項禁止心跳部分的功能;

(二)網站服務商在未及時升級前,建議采用第三方網站安全防護平臺或專用防護設備對服務器提供防護;

(三)互聯網用戶近期應注意網上應用(包括手機APP)安全風險,如發現網銀證書、賬號和密碼被非法使用、篡改的情況,應及時向服務商或CNVD報告。

CNVD將持續跟蹤漏洞攻擊情況,如需技術支援,請聯系CNVD。聯系電話:010-82990286,郵箱:[email protected],網站:www.cnvd.org.cn

相關安全公告鏈接參考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/

上一條:關于Apache Struts 2存在補丁繞過漏洞的情況公告 下一條:關于OpenSSL存在內存泄露高危漏洞的安全公告

關閉

Copyright © 2018.信息化中心 All right reserved.Web Design
好事成双试玩
捕鱼大亨在线下载 江西十一选五历史遗漏 彩票深圳风采官方网站 cba比分结果北京对八一 江苏7位数历史开奖 天津麻将怎么玩龙 重庆幸运农场开奖查 河北十一选五前三组 山东20选5开奖结 fiba美洲篮球比分直播 股票短线交易规则 澳洲幸运8历史开奖记录 大富翁下载 正版豪利棋牌官方下载 广东好彩1 cba篮球即时比分直播