0x01 漏洞描述

- OpenSSL心脏滴血漏洞(CVE-2014-0160) -

2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露,即HeartBleed是在心跳协议上的一个数据泄露漏洞,OpenSSL库中用到了该心跳协议。

Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

0x02 漏洞等级

威胁级别 高危 中危 低危

0x03 漏洞验证

启动msfconsole,加载 auxiliary/scanner/ssl/openssl_heartbleed 功能模块。

通过此漏洞可读取每次攻击服务器所泄露的数据信息。

0x04 漏洞修复

  1. 升级OpenSSL版本。