仅仅过了几天,互联网上仍然充斥着铺天盖地的新闻cve - 2014 - 0160,更像是蠕动脆弱性。CSO已编译以下信息,以帮助管理员和安全团队了解问题,确定其风险,以及如果需要,请解决问题。
 |
|
 |
Hearlbled的两个原因并没有真正改变任何事情 |
|
Heartbleed (CVE-2014-0160):概述问题和修复它所需的资源 |
|
以下是具有令人毛骨悚然的网络装备的选项(提示:没有很多) |
|
关于Heartbleed和OpenSSL,你需要知道些什么 |
|
心脏出血——接下来会发生什么? |
|
服务器制造商急于推出“心脏出血”补丁 |
|
|
|
概述:
“心脏出血”漏洞在2014年4月7日被完全披露给互联网,但问题的根源是两年前引入OpenSSL平台的。
此错误的名称是单词的播放。媒体和一些供应商有错误地将该问题报告为恶意软件,这是一个远离真相的描述。同样,其他不准确的报告已表示该问题是SSL / TLS协议内的问题。这两个解释都是假的。
“心脏出血”bug的存在是因为OpenSSL实现的TLS/DTLS心跳功能存在一个缺陷。所以这是服务器软件的问题,不是证书的问题。漏洞本身可以归类为一个关键的信息披露问题。
影响:
在他们的咨询中在美国,US-CERT完美地概述了这个问题。
OpenSSL版本1.0.1至1.0.1f在其实现TLS / DTLS心跳功能中包含缺陷(RFC6520)。此漏洞允许攻击者检索应用程序的私有内存,该应用程序使用漏洞的openssl libssl库一次在块中最多可达64k。请注意,攻击者可以反复利用漏洞以增加泄漏块包含预期秘密的机会。
如果由攻击者定位,缺陷将产生一些,如果不是以下所有内容:
- SSL私钥,在流量被拦截时可以解密;然而,专家表示,攻击者不太可能成功地泄露私钥。
- 提交给服务器上运行的应用程序和服务的用户名和密码。这是最可能的攻击矢量,但至少还没有与之相关的安全事件。
- 会话令牌也由此缺陷公开,如cookie值。
一旦漏洞成为公众知识,许多研究人员和供应商都曾致力于检查总攻击表面。
因此,有报告称,该漏洞可以用来放大流量和触发DDoS,并暴露应用程序配置文件,包括连接字符串,数据库用户名和密码都是清晰可见的。
规模和范围(什么是脆弱的):
发现漏洞的研究人员已经解释了脆弱性的最重要方面,因为它涉及范围:
最值得注意的软件使用OpenSSL是Apache和Nginx等开源Web服务器。根据Netcraft 2014年4月的网络服务器调查,互联网活动场地的综合市场份额仅为66%超过66%。
此外,OpenSSL还用于保护电子邮件服务器(SMTP、POP和IMAP协议)、聊天服务器(XMPP协议)、虚拟专用网络(SSL vpn)、网络设备和各种客户端软件。幸运的是,许多大型消费者站点由于保守地选择SSL/TLS终端设备和软件而得以保存。
具有讽刺意味的更小,更普通的服务或升级到最新和最佳加密的人将受到影响。此外,OpenSSL在客户端软件中非常受欢迎,并且在网络设备中有点流行,在获得更新时具有大多数惯性。
以下版本的OpenSSL容易出现这个缺陷:
- openssl v。1.0.1 1.0.1f
以下版本的OpenSSL是不是易受此缺陷影响:
- OpenSSL v. 1.0.1g(当前版本)
- OpenSSL诉1.0.0x
- OpenSSL诉0.9.8x
以下Linux发行版是openssl的易受攻击版本的:
- Debian Wheezy(稳定)
- Ubuntu 12.04.4 LTS
- CentOS 6.5
- Fedora 18.
- OpenBSD 5.3
- FreeBSD 10.0
- NetBSD 5.0.2
- opensuse 12.2.
可以使用OpenSSL版本-A命令获取OpenSSL的版本。2014年4月7日之前构建的OpenSSL 1.0.1x版本的版本易受攻击。
a如解释说发现这个缺陷的研究人员:
这些易受攻击的版本已经存在两年多了,并且很快被现代操作系统所采用。一个主要的影响因素是,TLS 1.1和1.2版本与第一个脆弱的OpenSSL版本(1.0.1)一起出现,而且由于早期针对TLS的攻击(例如兽)。
测试的漏洞:
为了确定漏洞,已经部署了一些服务,使组织能够检查其服务器的状态。以下两种服务是最推荐的。
修复问题:
修复Heartbleed造成的问题是一个多步骤的过程。
1.更新OpenSSL
对于Ubuntu和Debian系统,应该通过发出apt-get update和apt-get install -y libssl1.0.0 OpenSSL命令来更新OpenSSL。
之后,发出lsof -n | grep ssl | grep DEL并重启所有列出的服务。
-
Debian安装可以先使用apt-get更新,然后再使用apt-get升级。
-
对于CentOS使用yum clean all && yum update "openssl*"。
发行lsof-n |grep ssl |Grep del并重新启动所有列出的服务。
-
Fedora 18是不再支持.以下内容适用于Fedora 19和20。
for fedora 19 x86_64:
安装koji
koji下载 - build - arch = x86_64 openssl-1.0.1e-37.fc19.1
百胜localinstall openssl fc19.1.x86_64.rpm——1.0.1e - 37.
-
Fedora 20 x86_64:
安装koji
openssl-1.0.1e-37.fc20.1 . jpg
百胜localinstall openssl fc20.1.x86_64.rpm——1.0.1e - 37.
替换为32位系统的I686,或用于ARM系统的ARMV7HL(仅限Fedora 20)。
-
对于OpenBSD,请参阅此文档:
http://ftp.openbsd.org/pub/openbsd/patches/5.4/comman/007_openssl.patch.patch.
-
对于FreeBSD,请参阅这些文件:
http://svnweb.freebsd.org/base?view=revision&revision=264267
http://svnweb.freebsd.org/base?view=revision&revision=264266
http://svnweb.freebsd.org/base?view=revision&revision=264265
-
对于NetBSD,请参阅本文档:
http://mail-index.netbsd.org/current-users/2014/04/09/msg024667.html.
如果由于某些原因无法更新OpenSSL,则可以通过恢复到非脆弱版本的OpenSSL来绕过该漏洞,或者使用-DOPENSSL_NO_HEARTBEATS标志重新编译OpenSSL。
2.撤销和替换
修补服务器后,需要重新生成所使用的所有私钥。完成此操作后,需要撤销SSL证书,并使用新重新生成的键发出新的。请务必重新启动服务器,以确保任何现场会话终止。
之后,所有帐户的所有密码 - 都应该更改。如果有的话,这是一个很好的主意,只是出于丰富的谨慎。在问题的技术咨询中,Accuvant建议您的密码:
更改所有帐户的密码,包括以下内容:
- 可能已经与主机互动的单点登录平台
- 可以使用openssl / apache的设备web interface登录
- 可能已用于后端身份验证的Active Directory帐户
额外的资源:
一组Snort规则已经被释放与此漏洞有关。Rapid7已发布通过Nexpose检测漏洞的指导, Metasploit有发布了一个模块Heartbleed。
供应商反应
本文将根据需要进行更新。请随意使用下面的评论部分来分享任何额外的信息。
这篇文章“心碎(CVE-2014-0160):问题概述和修复它所需的资源”最初发表于方案 .