在OpenSSL中发现了一个错误, 所有的细节可以在heartbleed.com找到. 该错误已被分配CVE-2014-0160. OpenSSL版本1.0.1 – 1.0.1f是易受攻击版本. 我们建议将OpenSSL升级到1.0.1g或更高版本.
测试您是否易受攻击
您可以通过请求具有大回应的heartbeat回应来测试是否容易受到攻击. 如果伺服器回应您的SSL服务, 那可能是易受攻击的. 您可以使用以下任何一项测试:
- http://filippo.io/Heartbleed/: 基于网络的测试
- http://s3.jspenguin.org/ssltest.py: 一个python脚本从命令行测试漏洞. 如果您想要扫描多个网站, 可以使用修改后的版本, 并轻松解析结果.
- 如果您使用Chrome, 则可以安装Chromebleed扩展, 在访问易受攻击的网站时发出提醒.
此漏洞仅适用于OpenSSL版本1.0.1-1.0.1f (首末项包含在内的) .
建议
我们建议对每个易受攻击的SSL服务执行以下步骤
- 将OpenSSL版本升级到1.0.1g或更高版本
- 撤销遭泄漏的密钥并重新发怖和重新分发新密钥和SSL证书
影响
攻击者可以取得伺服器的记忆体高达64kb. 对可执行的攻击数量没有限制. 攻击者无法控制从记忆体区域内读取那些区块.可获取的敏感信息为:
- SSL密钥
- 基本授权字串 (使用者名称/密码组合)
- 源始码
此错误会影响连接的两端. 不仅客户端证书不会保护连线, 你必须更新伺服器证书, 它们可以利用您连接到的任何伺服器从客户端读取 (连同您的用户名, 密码) . DNS中毒, MitM等可用于将客户端带到恶意伺服器 – 似乎此漏洞可以在伺服器验证自己之前被利用.
根据http://www.openssl.org/news/openssl-1.0.1-notes.htmlheartbeat扩展是在2012年3月推出的OpenSSL1.0.1版本. 这意味着漏洞已经存在了2年.
更新
OpenSSL已经在https://www.openssl.org/source/提供了OpenSSL的更新版本 (1.0.1g)