亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

關(guān)于OpenSSL存在高危漏洞可被利用發(fā)起大規(guī)模攻擊的情況通報(bào)(4月9日結(jié)果)

2014-04-09 17:09:04

安全公告編號(hào):CNTA-2014-0013

4月8日,國家信息安全漏洞共享平臺(tái)(CNVD)對(duì)OpenSSL存在的一個(gè)內(nèi)存信息泄露高危漏洞進(jìn)行分析,利用該漏洞可竊取服務(wù)器內(nèi)存當(dāng)前存儲(chǔ)的用戶數(shù)據(jù)。由于OpenSSL應(yīng)用極為廣泛,包括政府、高校網(wǎng)站以及金融證券、電子商務(wù)、網(wǎng)上支付、即時(shí)聊天、辦公系統(tǒng)、郵件系統(tǒng)等諸多服務(wù)提供商均受到漏洞影響,直接危及互聯(lián)網(wǎng)用戶財(cái)產(chǎn)和個(gè)人信息安全。具體情況通報(bào)如下:

一、? 漏洞情況分析

OpenSSL是一款開放源碼的SSL服務(wù)軟件,用來實(shí)現(xiàn)網(wǎng)絡(luò)通信的加密和認(rèn)證。漏洞與OpenSSL TLS/DTLS傳輸層安全協(xié)議擴(kuò)展組件(RFC6520)相關(guān),存在于ssl/dl_both.c文件的心跳部分(heartbeat)。當(dāng)攻擊者向服務(wù)器發(fā)送一個(gè)特殊構(gòu)造的數(shù)據(jù)包,可導(dǎo)致內(nèi)存存儲(chǔ)數(shù)據(jù)輸出。遠(yuǎn)程攻擊者可以利用漏洞讀取存在相關(guān)服務(wù)器內(nèi)存中多達(dá)64K字節(jié)的數(shù)據(jù)。根據(jù)上述過程,目前漏洞在互聯(lián)網(wǎng)被稱為“heartbleed bug”,中文名稱叫做“心臟出血”、““擊穿心臟””等。

CNVD組織完成的多個(gè)測(cè)試實(shí)例表明,根據(jù)對(duì)應(yīng)OpenSSL服務(wù)器承載業(yè)務(wù)類型,攻擊者一般可獲得用戶X.509證書私鑰、實(shí)時(shí)連接的用戶賬號(hào)密碼、會(huì)話Cookies等敏感信息,進(jìn)一步可直接取得相關(guān)用戶權(quán)限,竊取私密數(shù)據(jù)或執(zhí)行非授權(quán)操作。

二、漏洞影響范圍

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。受該漏洞影響的產(chǎn)品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暫不受影響。綜合各方測(cè)試結(jié)果,國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關(guān)VPN、郵件服務(wù)、即時(shí)聊天、網(wǎng)絡(luò)支付、電子商務(wù)、權(quán)限認(rèn)證等服務(wù)器受到漏洞影響,此外一些政府和高校網(wǎng)站服務(wù)器也受到影響。

根據(jù)CNVD成員單位——知道創(chuàng)宇公司以及奇虎360公司提供的抽樣檢測(cè)數(shù)據(jù),國內(nèi)網(wǎng)站有2.3萬個(gè)(占其抽樣的1.5%)和1.1萬個(gè)(占其抽樣的1.0%)服務(wù)器主機(jī)受到影響。目前互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對(duì)該漏洞的攻擊利用代碼,預(yù)計(jì)在近期針對(duì)該漏洞的攻擊將呈現(xiàn)激增趨勢(shì),對(duì)網(wǎng)站服務(wù)提供商以及用戶造成的危害將會(huì)進(jìn)一步擴(kuò)大。

三、漏洞處置建議

目前,OpenSSL官方發(fā)布的1.0.1g版本已修復(fù)該漏洞。為防范可能的攻擊,CNVD建議采取如下措施:

(一)網(wǎng)站服務(wù)提供商及時(shí)下載升級(jí)。如無法及時(shí)升級(jí),可參考OpenSSL官方建議重新編譯,加上-DOPENSSL_NO_HEARTBEATS選項(xiàng)禁止心跳部分的功能;

(二)網(wǎng)站服務(wù)商在未及時(shí)升級(jí)前,建議采用第三方網(wǎng)站安全防護(hù)平臺(tái)或?qū)S梅雷o(hù)設(shè)備對(duì)服務(wù)器提供防護(hù);

(三)互聯(lián)網(wǎng)用戶近期應(yīng)注意網(wǎng)上應(yīng)用(包括手機(jī)APP)安全風(fēng)險(xiǎn),如發(fā)現(xiàn)網(wǎng)銀證書、賬號(hào)和密碼被非法使用、篡改的情況,應(yīng)及時(shí)向服務(wù)商或CNVD報(bào)告。

CNVD將持續(xù)跟蹤漏洞攻擊情況,如需技術(shù)支援,請(qǐng)聯(lián)系CNVD。聯(lián)系電話:010-82990286,郵箱:vreport@cert.org.cn,網(wǎng)站:www.cnvd.org.cn。

相關(guān)安全公告鏈接參考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/