CVE-2014-0160裂痕配景
2014年4月7日OpenSSL宣布了安详通告,在OpenSSL1.0.1版本中存在严重裂痕(CVE-2014-0160),此次裂痕问题存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模块存在一个BUG,东莞电信服务器 河南电信服务器,当进攻者结构一个非凡的数据包,满意用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出,该裂痕导致进攻者可以长途读取存在裂痕版本的openssl处事器内存中长大64K的数据。
OpenSSL受影响和不受影响版本
对此我们给出如下发起
最新版本进级地点为:https://www.openssl.org/source/. (OpenSSL官方)
阐明与验证
在该裂痕宣布的第一时间我们对此裂痕举办了阐明与验证是否可以或许获取一些敏感信息。裂痕宣布的同时进攻可操作的剧本也已经在网络中传播。下面裂痕操作剧本的下载地点:
http://filippo.io/Heartbleed/ (web测试页面)
http://s3.jspenguin.org/ssltest.py (python剧本)
http://pan.baidu.com/s/1nt3BnVB (python剧本)
通过网络中已有的测试要领,我们对存在问题的几个网站举办测试,阐明晰定该裂痕确实可被进攻者拿到一些敏感信息。测试进程如下:
apply.szsti.gov.cn (测试时间为2014-04-09 02:00)
my-card.in (测试时间为2014-04-09 02:00)
www.shuobar.cn (测试时间为2014-04-09 02:00)
gitcafe.com (测试时间为2014-04-09 02:00)
fengcheco.com (测试时间为2014-04-09 02:00)
获取返来的敏感信息截图如下:
获取敏感信息有内网IP地点、路径等。
获取敏感信息有APP信息、cookie信息和用户名信息等
获取敏感信息是手机号码等。
获取敏感信息是QQ信箱和暗码等。
测试的地点如是一些生意业务、证券、银行等,是可以获取到更多的敏感信息。在次提醒宽大用户近早更新您的OpenSSL的版本或是按照我们的发起举办处理惩罚。
网络检测Snort法则
alert tcp$EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleedattack";flow:to_server,established; content:"|18 03|"; depth: 3;byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big;threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160;classtype:bad-unknown; sid:20140160; rev:2;)
此次裂痕主要针对443端口的SSL协议。回包在16385字节,此法则是一个通用法则。
