漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-061393
漏洞标题:Ubuntu中文某分站openssl心脏出血漏洞
相关厂商:Ubuntu中文
漏洞作者: 路人甲
提交时间:2014-05-21 11:07
修复时间:2014-05-21 14:24
公开时间:2014-05-21 14:24
漏洞类型:系统/服务补丁不及时
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-21: 细节已通知厂商并且等待厂商处理中
2014-05-21: 厂商已经确认,细节仅向厂商公开
2014-05-21: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
Ubuntu中文某分站openssl心脏出血漏洞
详细说明:
用openssl.py进行攻击,返回内存信息
http://wiki.ubuntu.org.cn
漏洞证明:
修复方案:
1.升级到OpenSSL 1.0.1g,并重新生成你的私钥、请求和替换SSL的证书
2.但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁,使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。
3.对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。以禁用Heartbleed模块
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-05-21 14:17
厂商回复:
已经更新了相关软件。HTTPS证书仅仅用于为社区论坛提供一种访问方式(论坛默认采用http方式访问),并且本论坛仅仅为一开源社区,不涉及到任何金融相关的服务,所以影响不大;但还是有可能造成单个用户的登陆信息泄露,当然相比采用http登录时泄露的可能性更大。
最新状态:
2014-05-21:$ python openssl.py forum.ubuntu.org.cn -p 443Connecting...Sending Client Hello...Waiting for Server Hello... ... received message: type = 22, ver = 0302, length = 66 ... received message: type = 22, ver = 0302, length = 1641 ... received message: type = 22, ver = 0302, length = 331 ... received message: type = 22, ver = 0302, length = 4Sending heartbeat request...Unexpected EOF receiving record header - server closed connectionNo heartbeat response received, server likely not vulnerable