CVE-2014-0160裂痕配景

2014年4月7日OpenSSL宣布了安詳通告，在OpenSSL1.0.1版本中存在嚴重裂痕（CVE-2014-0160），此次裂痕問題存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模塊存在一個BUG，東莞電信服務器 河南電信服務器，當進攻者結構一個非凡的數據包，滿意用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之后的數據直接輸出，該裂痕導致進攻者可以長途讀取存在裂痕版本的openssl處事器內存中長大64K的數據。

OpenSSL受影響和不受影響版本

對此我們給出如下發起

最新版本進級地點為：https://www.openssl.org/source/. （OpenSSL官方）

闡明與驗證

在該裂痕宣布的第一時間我們對此裂痕舉辦了闡明與驗證是否可以或許獲取一些敏感信息。裂痕宣布的同時進攻可操作的劇本也已經在網絡中傳播。下面裂痕操作劇本的下載地點：

http://filippo.io/Heartbleed/ （web測試頁面）

http://s3.jspenguin.org/ssltest.py  (python劇本)

http://pan.baidu.com/s/1nt3BnVB  (python劇本)

通過網絡中已有的測試要領，我們對存在問題的幾個網站舉辦測試，闡明晰定該裂痕確實可被進攻者拿到一些敏感信息。測試進程如下：

apply.szsti.gov.cn  （測試時間為2014-04-09 02:00）

my-card.in                （測試時間為2014-04-09 02:00）

www.shuobar.cn     （測試時間為2014-04-09 02:00）

gitcafe.com             （測試時間為2014-04-09 02:00）

fengcheco.com       （測試時間為2014-04-09 02:00）

獲取返來的敏感信息截圖如下：

獲取敏感信息有內網IP地點、路徑等。

獲取敏感信息有APP信息、cookie信息和用戶名信息等

獲取敏感信息是手機號碼等。

獲取敏感信息是QQ信箱和暗碼等。

測試的地點如是一些生意業務、證券、銀行等，是可以獲取到更多的敏感信息。在次提醒寬大用戶近早更新您的OpenSSL的版本或是按照我們的發起舉辦處理懲罰。

網絡檢測Snort法則

alert tcp$EXTERNAL_NET any -> $HOME_NET 443 (msg:"openssl Heartbleedattack";flow:to_server,established; content:"|18 03|"; depth: 3;byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big;threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160;classtype:bad-unknown; sid:20140160; rev:2;)

此次裂痕主要針對443端口的SSL協議。回包在16385字節，此法則是一個通用法則。