OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own)

這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料，利用傳送 heartbeat 的封包給伺服器，在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料，因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等，因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。

註: 此篇文章非常清楚說明問題、應對措施, 該如何做等等, 在此就不詳述, 只紀錄幾個要做的事情.

Debina / Ubuntu Linux 需要做的事情

1. dpkg -l | grep openssl # 確認 OpenSSL 版本是否是 openssl 1.0.1e-2+deb7u4 (Debian Wheezy) / openssl 1.0.1-4ubuntu5.11 (Ubuntu 12.04)
2. 使用下述檢測工具測試
   1. Heartbleed test: Test your server for Heartbleed (CVE-2014-0160)
   2. 自我測試工具: http://s3.jspenguin.org/ssltest.py 或 備份, ex: python ssltest.py ifttt.com
3. 檢測是否有問題:
   • 有問題, 請到上述文章去看有哪些事情要作.
   • 沒有問題, 請執行套件升級:
     1. apt-get update
     2. apt-get upgrade # 注意 openssl、libssl.
     3. 更新後的版本是:
        • Debian Wheezy: openssl 1.0.1e-2+deb7u6
        • Debian Jessie: openssl 1.0.1g-1
        • Ubuntu 12.04: openssl 1.0.1-4ubuntu5.12
        • Ubuntu 13.10: openssl 1.0.1e-3ubuntu1.2
4. 注意: OpenSSL 1.0.1 ~ 1.0.1f 和 1.0.2-beta 使用這些版本建出來的 SSL Key 會需要重新產生建立

更新

1. 此篇有更新版的資料, 建議參考: OpenSSL Heartbleed 全球駭客的殺戮祭典，你參與了嗎？
2. 新增檢測工具: check-ssl-heartbleed.pl
3. 2014/4/10 尚未更新清單: Internet Heartbleed Health Report

相關網頁

• existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug - 有詳細的原因、說明
• CVE - CVE-2014-0160
• OpenSSL 的公告: TLS heartbeat read overrun (CVE-2014-0160)
• Heartbleed Bug
• 立即止血！Heartbleed漏洞DIY檢測工具總整理
• Heartbleed資安漏洞，數十萬伺服器可能洩密 - Inside 網摘
• OpenSSL 曝出重大缺陷 黑客可多次竊取數據
• 下述摘錄自此篇: OpenSSL重大漏洞Heartbleed 全球網路加密傳輸安全拉警報
  

  這個漏洞並不是SSL/TLS協定的問題，而是OpenSSL函式庫的程式錯誤。

  Codenomicon人員解釋，Heartbleed臭蟲可能讓網路上任何人讀取到由OpenSSL防護的系統記憶體，進而獲得辨識服務供應商或加密網路流量的密鑰，或是使用者的帳號密碼及實際內容。攻擊者可藉此竊取服務或身份驗證內容，並且假冒服務或使用者身份。

  研究人員實地測試發現，Heartbleed臭蟲可讓他們無需權限資料就可以取得自己的x.509加密金鑰、用戶帳號、即時通訊、email及公司重要文件及通訊內容，而且完全不留任何痕跡。因此即使公司系統曾經遭到入侵，管理員可能也無從得知。

• OpenSSL重大漏洞 全球2/3網站拉警報
• CVE-2014-0160 mass scan on the Alexa top sites
• 使用網路銀行安全嗎？臺灣網路銀行Heartbleed災情大清查 - 此篇看看就好
• Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed? | CloudFlare Blog
• Researcher Proves Heartbleed Bug Exposes Private SSL keys
• OpenSSL 安全漏洞 (CVE-2014-0160)
• NSA 從兩年前就知道 OpenSSL 的 Heartbleed bug
• OpenSSL 的 Heartbleed 漏洞不限於 Server，也包含 Client
• Testing for "reverse" Heartbleed — Meldium
• 核彈級資安漏洞「Heartbleed」爆發前 72 小時，他正帶領團隊拯救全球網路安全
• 全球網路爆發核彈級密碼漏洞，危機網站清單大公開
• 使用購物網站安全嗎？臺灣購物網站Heartbleed災情大清查
• 【 HITCON Free Talk 現場筆記 】如何在全球駭客嗜血戰場 OpenSSL Heartbleed 中救自己一命
• 駭客利用Heartbleed 漏洞入侵VPN，多因素認證防護破功
• OpenSSL加密出包 全球網路安全淌血
• IT產品Heartbleed災情大清查
• 9款Heartbleed止血自救工具

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活. 檢視「Tsung」的全部文章