漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-057095
漏洞标题:西北民族大学邮件心脏在流血
相关厂商:西北民族大学
漏洞作者: 路人甲
提交时间:2014-04-15 12:02
修复时间:2014-05-30 12:02
公开时间:2014-05-30 12:02
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-15: 细节已通知厂商并且等待厂商处理中
2014-04-16: 厂商已经确认,细节仅向厂商公开
2014-04-26: 细节向核心白帽子及相关领域专家公开
2014-05-06: 细节向普通白帽子公开
2014-05-16: 细节向实习白帽子公开
2014-05-30: 细节向公众公开
简要描述:
西北民族大学邮件系统存在OpenSSL心跳包越界读敏感信息泄漏漏洞
详细说明:
https://210.26.0.50/
分析:
TLS心跳由一个请求包组成,其中包括有效载荷(payload),通信的另一方将读取这个包并发送一个响应,其中包含同样的载荷。在处理心跳请求的代码中,载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值,从而导致越界读,造成了敏感信息泄漏。
泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。
漏洞证明:
修复方案:
说明:
OpenSSL心跳包越界读敏感信息泄漏漏洞受影响的软件及系统:
OpenSSL 1.0.1 - OpenSSL 1.0.1f
OpenSSL 1.0.2-beta
OpenSSL 1.0.2-beta1
未受影响的软件及系统:
OpenSSL 0.9.8
OpenSSL 1.0.0
OpenSSL 1.0.1g
OpenSSL 1.0.2-beta2
——————————————————————————————————————
解决方法:
建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。
厂商状态:
Openssl已经发布了Openssl 1.0.1g修复此问题,:
厂商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
https://www.openssl.org/source/
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。
主流Linux发行版也已经发布相关补丁,请尽快升级。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2014-04-16 11:18
厂商回复:
已通知相关学校处理
最新状态:
暂无