在OpenSSL中發現了一個錯誤, 所有的細節可以在heartbleed.com找到. 該錯誤已被分配CVE-2014-0160. OpenSSL版本1.0.1 – 1.0.1f是易受攻擊版本. 我們建議將OpenSSL升級到1.0.1g或更高版本.
測試您是否易受攻擊
您可以通過請求具有大回應的heartbeat回應來測試是否容易受到攻擊. 如果伺服器回應您的SSL服務, 那可能是易受攻擊的. 您可以使用以下任何一項測試:
- http://filippo.io/Heartbleed/: 基於網絡的測試
- http://s3.jspenguin.org/ssltest.py: 一個python腳本從命令行測試漏洞. 如果您想要掃描多個網站, 可以使用修改後的版本, 並輕鬆解析結果.
- 如果您使用Chrome, 則可以安裝Chromebleed擴展, 在訪問易受攻擊的網站時發出提醒.
此漏洞僅適用於OpenSSL版本1.0.1-1.0.1f (首末項包含在內的) .
建議
我們建議對每個易受攻擊的SSL服務執行以下步驟
- 將OpenSSL版本升級到1.0.1g或更高版本
- 撤銷遭洩漏的密鑰並重新發怖和重新分發新密鑰和SSL證書
影響
攻擊者可以取得伺服器的記憶體高達64kb. 對可執行的攻擊數量沒有限制. 攻擊者無法控制從記憶體區域內讀取那些區塊.可獲取的敏感信息為:
- SSL密鑰
- 基本授權字串 (使用者名稱/密碼組合)
- 源始碼
此錯誤會影響連接的兩端. 不僅客戶端證書不會保護連線, 你必須更新伺服器證書, 它們可以利用您連接到的任何伺服器從客戶端讀取 (連同您的用戶名, 密碼) . DNS中毒, MitM等可用於將客戶端帶到惡意伺服器 – 似乎此漏洞可以在伺服器驗證自己之前被利用.
根據http://www.openssl.org/news/openssl-1.0.1-notes.htmlheartbeat擴展是在2012年3月推出的OpenSSL1.0.1版本. 這意味著漏洞已經存在了2年.
更新
OpenSSL已經在https://www.openssl.org/source/提供了OpenSSL的更新版本 (1.0.1g)