OpenSSL(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上,受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。
由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為Heartbleed(心在淌血) 臭蟲(Heartbleed bug)。而他確實也如同心臟噴出血般嚴重,攻擊者可先搜索具有OpenSSL弱點之網站主機,利用HeartBeat命令傳送記憶體的Payload傳送到受害主機,導致 memory 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。這個漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫的程式錯誤。
- 軟體名稱:OpenSSL
- 影響範圍:1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1
- 修復版本:1.0.1g / 1.0.2-beta2
- 影響系統版本:各作業系統只要有安裝OpenSSL影響範圍版本均受影響
- 影響服務:HTTP、SMTPS、IMAPS、POP3S 等使用 OpenSSL 之服務
如何自我檢測?
要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。
Heartbleed test http://filippo.io/Heartbleed/
應對措施
- 確認自己的 OpenSSL 版本是否在受害範圍
- 使用檢測工具檢測是否含有漏洞
- 更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2
- 重開所有與 OpenSSL 函式庫相關之服務
- 重新產生 SSL Private Key (因為 Private Key 可能藉由漏洞外洩)
- 將網站舊憑證撤銷
- 清除所有目前網頁伺服器上的 Session (因為可能遭到竊取)
- 必要時更換網站內使用者密碼,或是密切追蹤網站是否有帳號盜用的情況發生
- 網站功能請關閉HeartBeat功能 (-DOPENSSL_NO_HEARTBEATS.) ,以避免被攻擊成功。
建議使用者應儘速確認主機是否使用影響範圍內的OpenSSL版本,並請盡速評估是否更新至OpenSSL 1.0.1g或1.0.2beta2版本,或先關閉HeartBeat查詢,以避免遭受此攻擊。
0 意見:
張貼留言
如您對本文有任何建議或意見,歡迎您留下您寶貴的意見!