Heartbleed

2014年4月7日 OPENSSL 發布了一個重大資安漏洞發現

弱點編號:CVE-2014-0160,代號「HEARTBLEED」。

OpenSSL針對此弱點說明如下:

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley agl@chromium.org and Bodo Moeller bmoeller@acm.org for preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSLNOHEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,被竊取的資料可能包含 ssl private key、session cookie、使用者密碼等,因此最嚴重可能因此導致伺服器遭到入侵或被盜取使用者帳號、密碼。

由於OpenSSL憑證加解密被廣泛應用於網站及應用服務,大多數安全需求性較高的網路服務,諸如:網路銀行、線上交易、會員系統等都採用OpenSSL HTTPS加密。因此該漏洞將導致全球使用OpenSSL的線上金融服務面臨重大衝擊。

受影響的OpenSSL版本為 1.0.1 ~ 1.0.1f 及 1.0.2-beta,目前OpenSSL已發布對應的修復更新版本 1.0.1g 、1.0.2-beta1。

採用OpenSSL加密的企業可透過 Heartbleed test 網站自我檢測內部的系統是否有受到影響
若有受到影響請務必立即更新OpenSSL版本!

更多關於Heartbleed漏洞可參考 http://heartbleed.com

關於作者

Mikotek Corp.

Mikotek Corp.

永磐科技創立於1982年,為全國罕有的資深系統整合企業。歷年來曾代理Novell、Compaq、 NGC Sniffer、 Cabletron、NetScout、OPNET等多家知名產品,目前主要為Cisco銀質伙伴。