CVE-2014-0160漏洞背景

2014年4月7日OpenSSL發(fā)布了安全公告，在OpenSSL1.0.1版本中存在嚴(yán)重漏洞（CVE-2014-0160），此次漏洞問題存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模塊存在一個(gè)BUG，當(dāng)攻擊者構(gòu)造一個(gè)特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會(huì)導(dǎo)致memcpy把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導(dǎo)致攻擊者可以遠(yuǎn)程讀取存在漏洞版本的openssl服務(wù)器內(nèi)存中長(zhǎng)大64K的數(shù)據(jù)。

OpenSSL受影響和不受影響版本

對(duì)此我們給出如下建議

最新版本升級(jí)地址為：https://www.openssl.org/source/. （OpenSSL官方）

分析與驗(yàn)證

在該漏洞發(fā)布的第一時(shí)間我們對(duì)此漏洞進(jìn)行了分析與驗(yàn)證是否能夠獲取一些敏感信息。漏洞發(fā)布的同時(shí)攻擊可利用的腳本也已經(jīng)在網(wǎng)絡(luò)中流傳。下面漏洞利用腳本的下載地址：

http://filippo.io/Heartbleed/ （web測(cè)試頁面）

http://s3.jspenguin.org/ssltest.py (python腳本)

http://pan.baidu.com/s/1nt3BnVB (python腳本)

通過網(wǎng)絡(luò)中已有的測(cè)試方法，我們對(duì)存在問題的幾個(gè)網(wǎng)站進(jìn)行測(cè)試，分析確定該漏洞確實(shí)可被攻擊者拿到一些敏感信息。測(cè)試過程如下：

apply.szsti.gov.cn （測(cè)試時(shí)間為2014-04-09 02:00）

my-card.in （測(cè)試時(shí)間為2014-04-09 02:00）

www.shuobar.cn （測(cè)試時(shí)間為2014-04-09 02:00）

gitcafe.com （測(cè)試時(shí)間為2014-04-09 02:00）

fengcheco.com （測(cè)試時(shí)間為2014-04-09 02:00）

測(cè)試的地址如是一些交易、證券、銀行等，是可以獲取到更多的敏感信息。在次提醒廣大用戶近早更新您的OpenSSL的版本或是根據(jù)我們的建議進(jìn)行處理。

網(wǎng)絡(luò)檢測(cè)Snort規(guī)則

alert tcp$EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleedattack";flow:to_server,established; content:"|18 03|"; depth: 3;byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big;threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160;classtype:bad-unknown; sid:20140160; rev:2;)

此次漏洞主要針對(duì)443端口的SSL協(xié)議?；匕?6385字節(jié)，此規(guī)則是一個(gè)通用規(guī)則。