安全公告編號:CNTA-2014-0012

4月8日，國家信息安全漏洞共享平臺CNVD收錄了OpenSSL存在的一個內存泄露高危漏洞（CNVD編號：CNVD-2014-02175，對應CVE-2014-0160）。攻擊者利用漏洞可以讀取系統的內存數據，從而獲得密鑰、用戶賬號密碼和cookies等敏感信息，對目前各類基于OpenSSL的服務器應用安全構成嚴重的威脅。具體情況通報如下：

一、漏洞情況分析

OpenSSL是一款開放源碼的SSL實現，用來實現網絡通信的高強度加密。漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴展組件(RFC6520)相關，因此漏洞又被稱為“heartbleed bug”（中文名稱：“心血”漏洞）。CNVD測試結果表明，該漏洞無需任何特權信息或身份驗證，就可以獲得X.509證書的私鑰、用戶名與密碼、cookies等信息，進一步可直接從服務提供商和用戶通訊中竊取聊天工具消息、電子郵件以及重要的商業文檔和通信等私密數據。

二、漏洞影響范圍

CNVD對該漏洞的綜合評級為“高危”。受該漏洞影響的產品包括：OpenSSL 1.0.1-1.0.1f版本。目前，根據CNVD合作伙伴WOOYUN網站以及相關白帽子的測試結果，一些大型互聯網企業的網站服務器受到影響。由于OpenSSL還會應用到一些VPN、郵件、即時聊天等類型的服務器上，因此對服務提供商以及用戶造成的威脅范圍將會進一步擴大?；ヂ摼W上已經出現了針對該漏洞的攻擊利用代碼，預計在近期針對該漏洞的攻擊將呈現激增趨勢。

三、漏洞處置建議

目前，OpenSSL 1.0.1g已修復該漏洞。CNVD建議相關用戶及時下載使用。如無法及時升級，可參考openssl官方建議重新編譯加上-DOPENSSL_NO_HEARTBEATS。

相關安全公告鏈接參考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/

http://www.wooyun.org/bugs/wooyun-2014-055932