漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0144542
漏洞标题:酷我音乐大量站点存在heartbleed(含主站、支付站)
相关厂商:酷我音乐
漏洞作者: PyNerd
提交时间:2015-10-02 17:06
修复时间:2015-11-22 09:52
公开时间:2015-11-22 09:52
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-02: 细节已通知厂商并且等待厂商处理中
2015-10-08: 厂商已经确认,细节仅向厂商公开
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开
简要描述:
没想到至今还有这么多。。。。
详细说明:
kuwo存在心脏滴血漏洞的站点很多,包括主站和支付站
www.kuwo.cn
kzone.kuwo.cn
msclick.kuwo.cn
ddt.kuwo.cn
huodong.kuwo.cn
kuba.kuwo.cn
yinyue.kuwo.cn
fang.kuwo.cn
game.kuwo.cn
ping了一下,考虑可能做了泛域名解析
于是测试另一种基于域名的虚拟主机的可能,发现每个分站泄露的内存数据都是不同的,从而说明每个内网服务器的openssl都存在漏洞,否则在同一个时间内得到的内存数据是一致的
fang.kuwo.cn, pay.kuwo.cn, game.kuwo.cn三个不同业务的域名测试结果如下:
发现泄露的内网数据完全不同,说明以上业务的服务器都存在openssl的漏洞,建议全部升级!
漏洞证明:
ping了一下,考虑可能做了泛域名解析
于是测试另一种基于域名的虚拟主机的可能,发现每个分站泄露的内存数据都是不同的,从而说明每个内网服务器的openssl都存在漏洞,否则在同一个时间内得到的内存数据是一致的
fang.kuwo.cn, pay.kuwo.cn, game.kuwo.cn三个不同业务的域名测试结果如下:
发现泄露的内网数据完全不同,说明以上业务的服务器都存在openssl的漏洞,建议全部升级!
修复方案:
升级openssl
版权声明:转载请注明来源 PyNerd@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2015-10-08 09:51
厂商回复:
感谢
最新状态:
暂无