4月8日,国家信息安全漏洞共享平台(CNVD)对OpenSSL存在的一个内存信息泄露高危漏洞进行分析,利用该漏洞可窃取服务器内存当前存储的用户数据。由于OpenSSL应用极为广泛,包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响,直接危及互联网用户财产和个人信息安全。具体情况通报如下:
一、 漏洞情况分析
OpenSSL是一款开放源码的SSL服务软件,用来实现网络通信的加密和认证。漏洞与OpenSSL TLS/DTLS传输层安全协议扩展组件(RFC6520)相关,存在于ssl/dl_both.c文件的心跳部分(heartbeat)。当攻击者向服务器发送一个特殊构造的数据包,可导致内存存储数据输出。远程攻击者可以利用漏洞读取存在相关服务器内存中多达64K字节的数据。根据上述过程,目前漏洞在互联网被称为“heartbleed bug”,中文名称叫做“心脏出血”、““击穿心脏””等。
CNVD组织完成的多个测试实例表明,根据对应OpenSSL服务器承载业务类型,攻击者一般可获得用户X.509证书私钥、实时连接的用户账号密码、会话Cookies等敏感信息,进一步可直接取得相关用户权限,窃取私密数据或执行非授权操作。
二、漏洞影响范围
CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暂不受影响。综合各方测试结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也受到影响。
根据CNVD成员单位——知道创宇公司以及奇虎360公司提供的抽样检测数据,国内网站有2.3万个(占其抽样的1.5%)和1.1万个(占其抽样的 1.0%)服务器主机受到影响。目前互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。
三、漏洞处置建议
目前,OpenSSL官方发布的1.0.1g版本已修复该漏洞。为防范可能的攻击,CNVD建议采取如下措施:
(一)网站服务提供商及时下载升级。如无法及时升级,可参考OpenSSL官方建议重新编译,加上-DOPENSSL_NO_HEARTBEATS选项禁止心跳部分的功能;
(二)网站服务商在未及时升级前,建议采用第三方网站安全防护平台或专用防护设备对服务器提供防护;
(三)互联网用户近期应注意网上应用(包括手机APP)安全风险,如发现网银证书、账号和密码被非法使用、篡改的情况,应及时向服务商或CNVD报告。
CNVD将持续跟踪漏洞攻击情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站:www.cnvd.org.cn。
相关安全公告链接参考如下:
http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
http://osvdb.com/show/osvdb/105465
http://heartbleed.com/