[資訊安全]OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞

OpenSSL（4/8）發佈緊急安全修補公告，公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。OpenSSL是一個開放源碼網路傳輸加密函式庫，使用相當廣泛，連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上，受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。

由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat（心跳）擴充功能之中，該漏洞受到攻擊時會造成記憶體內容的外洩，可能從伺服器端外洩到客戶端，或者由客戶端外洩到伺服器端，因此研究人員將它命名為Heartbleed（心在淌血） 臭蟲（Heartbleed bug）。而他確實也如同心臟噴出血般嚴重，攻擊者可先搜索具有OpenSSL弱點之網站主機，利用HeartBeat命令傳送記憶體的Payload傳送到受害主機，導致 memory 函數複製錯誤的記憶體資料，因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等，因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。這個漏洞並不是SSL/TLS協定的問題，而是OpenSSL函式庫的程式錯誤。

詳細的分析可以參閱 existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug

• 軟體名稱：OpenSSL
• 影響範圍：1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1
• 修復版本：1.0.1g / 1.0.2-beta2
• 影響系統版本：各作業系統只要有安裝OpenSSL影響範圍版本均受影響
• 影響服務：HTTP、SMTPS、IMAPS、POP3S 等使用 OpenSSL 之服務

如何自我檢測？

要如何測試自己的網站有沒有這樣的漏洞呢？可以利用以下的網站或工具直接查詢。

Heartbleed test http://filippo.io/Heartbleed/

應對措施

1. 確認自己的 OpenSSL 版本是否在受害範圍
2. 使用檢測工具檢測是否含有漏洞
3. 更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2
4. 重開所有與 OpenSSL 函式庫相關之服務
5. 重新產生 SSL Private Key (因為 Private Key 可能藉由漏洞外洩)
6. 將網站舊憑證撤銷
7. 清除所有目前網頁伺服器上的 Session （因為可能遭到竊取）
8. 必要時更換網站內使用者密碼，或是密切追蹤網站是否有帳號盜用的情況發生
9. 網站功能請關閉HeartBeat功能 (-DOPENSSL_NO_HEARTBEATS.) ，以避免被攻擊成功。

建議使用者應儘速確認主機是否使用影響範圍內的OpenSSL版本，並請盡速評估是否更新至OpenSSL 1.0.1g或1.0.2beta2版本，或先關閉HeartBeat查詢，以避免遭受此攻擊。