2014月4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。
一、CVE-2014-0160漏洞背景 OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。 在目前已有的资料中,国内外同行已经称本漏洞为 “击穿心脏”、“毁灭级”、“今年最严重”的漏洞。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼不为过,建议各地区公司管理员高度注意本漏洞的处理情况,做出相应的对策。 OpenSSL受影响和不受影响版本 · OpenSSL 1.0.1f(受影响) · OpenSSL 1.0.1g (不受影响) · OpenSSL 1.0.0 branch (不受影响) · OpenSSL 0.9.8 branch (不受影响) 二、漏洞确定方法 测试工具见附件 测试步骤: 1、安装python,建议版本2.7(默认即可),平台使用windows或者linux均可; 2、命令行切换到ssltest.py所在目录: Windows使用方法 ssltest.py 服务器域名或者IP 端口(默认是443端口)例如:ssltest.py 192.168.44.180 ,如实际使用其他的端口,则ssltest.py 服务器域名或者IP 端口,例如:ssltest.py 192.168.44.180 -p 8006 Linux使用方法 python ssltest.py服务器域名或者IP 端口(默认是443端口,如果使用其它端口使用 -p 端口),例如:python ssltest.py 192.168.44.180 -p 8006 3、判断方法: 测试结果一般分为三种结果:无心跳响应、无漏洞、有漏洞 。 1)无心跳响应
2)无漏洞
3)有漏洞
三、处理建议 · OpenSSL版本升级到最新的1.0.1g · 重新生成你的私钥 · 请求和替换SSL的证书 · 使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
相关工具下载 | 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2014-4-17 13:48:22
置顶卡
喧嚣卡
变色卡
千斤顶
成长值: 62995
