OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞 | DEVCORE 戴夫寇爾
OpenSSL 今天公告了一個極度嚴重的漏洞(CVE-2014-0160),被稱為「Heartbleed」,而他確實也如同心臟噴出血般嚴重。這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
有點可怕啊 … 影響範圍為openssl 1.0.1 至 1.0.1f / 1.0.2-beta版 ,已經修復此問題的版本:1.0.1g / 1.0.2-beta1
目前已知受影響的系統:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
然後這邊有測試工具: Heartbleed test,程式是丟在Github上,有興趣/時間的話可以來看看 … domain打進去就可以幫忙測試了,不過有些網站只有特定頁面才能https的話好像沒辦法測
檢測出來本站未受影響,不過手上在管的其他網站就有暴露風險了,另外有沒檢測到風險的幾台系統,不過因為openssl都有做更新,也一並更新上去
然後Debian更新完後是建議要直接重開機器,因為怕有些需用到openssl服務的應用重啟時被遺漏或有其他狀況,所以 … 我就乖乖重開了(反正沒跑什麼太重要的東西 :P )
重開之後就發現另一個好玩的故事了,寫在下一篇XD
