发布日期：2014-04-07
更新日期：2014-04-08

受影响系统：

OpenSSL Project OpenSSL 1.0.2-beta1
OpenSSL Project OpenSSL 1.0.2-beta
OpenSSL Project OpenSSL 1.0.1f
OpenSSL Project OpenSSL 1.0.1e
OpenSSL Project OpenSSL 1.0.1d
OpenSSL Project OpenSSL 1.0.1c
OpenSSL Project OpenSSL 1.0.1b
OpenSSL Project OpenSSL 1.0.1a
OpenSSL Project OpenSSL 1.0.1

不受影响系统：

OpenSSL Project OpenSSL 1.0.2-beta2
OpenSSL Project OpenSSL 1.0.1g
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8

描述：

---

BUGTRAQ  ID: 66690
CVE(CAN) ID: CVE-2014-0160

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

OpenSSL TLS心跳扩展协议的实现上存在边界检查漏洞，远程无需验证的攻击者可以利用此漏洞导致泄漏64K的内存到连接的客户端或服务器，造成敏感信息的泄露。仅OpenSSL的1.0.1及1.0.2-beta版本受到影响，包括：1.0.1f及1.0.2-beta1版本。

TLS心跳由一个请求包组成，其中包括有效载荷（payload），通信的另一方将读取这个包并发送一个响应，其中包含同样的载荷。在处理心跳请求的代码中，载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值，从而导致越界读，造成了敏感信息泄漏。泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。


<*来源：Neel Mehta
  
  链接：https://www.openssl.org/news/secadv_20140407.txt
*>

建议：

---

临时解决方法：

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级，您可以采取以下措施以降低威胁：

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商补丁：

OpenSSL Project
---------------
Openssl已经发布了Openssl 1.0.1g修复此问题，:

厂商安全公告：
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3

对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁，请尽快升级。

参考：
https://www.securecoding.cert.org/confluence/x/EYCGB
http://heartbleed.com/
http://seclists.org/oss-sec/2014/q2/22
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902
https://tools.ietf.org/html/rfc6520
http://www.openssl.org/news/openssl-1.0.1-notes.html
http://www.hut3.net/blog/cns---networks-security/2014/04/14/bugs-in-heartbleed-detection-scripts-
http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html
http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
https://www.cert.fi/en/reports/2014/vulnerability788210.html
http://xkcd.com/1354/
https://code.google.com/p/mod-spdy/issues/detail?id=85
http://www.exploit-db.com/exploits/32745/
https://access.redhat.com/security/cve/CVE-2014-0160
http://www.ubuntu.com/usn/usn-2165-1/
http://www.freshports.org/security/openssl/
https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

浏览次数：8954
严重程度：0（网友投票）