您好,欢迎来到智慧通企业创新管理服务网! 今天是: 设为首页 加入收藏
 
当前位置:首页 >> 独家推荐
关于OpenSSL存在高危漏洞的情况通报

 

关于OpenSSL存在高危漏洞的情况通报
 
发布时间:2014-04-15      来源:工信部情报所  
    近日,接到中国信息安全测评中心和国家计算机网络应急技术处理协调中心的漏洞报告,OpenSSL存在的内存信息泄露高危漏洞,利用该漏洞可窃取服务器内存当前存储的用户数据。由于OpenSSL应用极为广泛,包括电子政务系统、党政机关网站、电子邮件系统以及金融等行业业务系统等均受到影响,直接危及党政机关和有关行业网络安全。具体情况通报如下:

  一、漏洞情况分析

  OpenSSL是一款开放源码的SSL服务软件,用来实现网络通信的加密和认证。漏洞与OpenSSLTLS/DTLS传输层安全协议扩展组件(RFC6520)相关,存在于ssl/dl_both.c文件的心跳部分(heartbeat)。当攻击者向服务器发送一个特殊构造的数据包,可导致内存存储数据输出。远程攻击者可以利用漏洞读取存在相关服务器内存中多达64K字节的数据。根据上述过程,目前漏洞在互联网被称为“heartbleedbug”,中文名称叫做心脏出血击穿心脏等。

  二、漏洞处置建议

  目前,OpenSSL官方发布的1.0.1g版本已修复该漏洞。为防范可能的攻击,建议采取如下措施:

  (一)各单位及时下载升级。如无法及时升级,可参考OpenSSL官方建议重新编译,加上-DOPENSSL_NO_HEARTBEATS选项禁止心跳部分的功能;

  (二)各单位在未及时升级前,建议采用网站安全防护平台或专用防护设备对服务器提供防护;

  相关安全公告链接参考如下:

  http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

  http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

  http://osvdb.com/show/osvdb/105465

  http://heartbleed.com/


客服热线:0519-83297678 18001502158 18994758929 传真号码:0519-83297678
主办:常州智慧通创新创业策划咨询服务有限公司
地址:常州钟楼高新技术创业服务中心710室 邮编:213000 苏ICP备11078573号
技术支持:易龙科技