金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

OpenSSL心跳包越界读敏感信息泄漏漏洞 (Alert2014-04)

2014-04-09

发布者:js1996官网登录

描述:

CVE ID:CVE-2014-0160
受影响的软件及系统:
====================
OpenSSL 1.0.1-OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1
未受影响的软件及系统:
======================
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g

OpenSSL 1.0.2-beta2


综述:
======
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
由于OpenSSL在处理TLS心跳扩展中没有进行边界检查,这可导致64K的内存信息泄漏给已连接的客户端或服务器。只有OpenSSL的1.0.1及1.0.2-beta系列版本受到影响,包括:1.0.1f及1.0.2-beta1版本。

鉴于此漏洞的严重程度,建议正在使用受影响版本的用户立刻升级到最新版本。


分析:
======
TLS心跳由一个请求包组成,其中包括有效载荷(payload),通信的另一方将读取这个包并发送一个响应,其中包含同样的载荷。在处理心跳请求的代码中,载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值,从而导致越界读,造成了敏感信息泄漏。
泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。

解决方法:

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。


厂商状态:
==========
Openssl已经发布了Openssl 1.0.1g修复此问题,:
厂商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁,请尽快升级。


附加信息:
==========
1. https://www.openssl.org/news/secadv_20140407.txt
2. http://heartbleed.com/


<<上一篇

Microsoft Word RTF文件解析错误代码执行0day漏洞 (Alert2014-03)

>>下一篇

Apache Struts2 CVE-2014-0094修复补丁绕过漏洞 (Alert2014-05)

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图