A.
影響範圍:OpenSSL 1.0.1 ~ 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1
修復版本:OpenSSL 1.0.1g / 1.0.2-beta2
http://www.ithome.com.tw/news/86593 有提到OpenSSL發布其重大安全漏洞(漏洞編號:CVE-2014-0160),產生憑證請求檔所使用的Open SSL版本,請避免落在1.01至1.0.1f/1.0.2-beta ~ 1.0.2-beta1以免網站有重要資料遭駭客竊取。詳細說明如下:
SSL(Secure Socket Layer)是網路上常用的安全傳輸協定,有許多公司遵循此協定來開發其產品或是API。OpenSSL就是以Eric Young與Tim Hudson所寫的SSLeay為基礎之C語言開放原始碼函式庫。
Open SSL Hearblead就是以下版本的OpenSSL函式庫的d1_both.c and t1_lib.c存在有緩衝區溢位漏洞,讓駭客可以透過送出特定偽造封包,讀取主機上OpenSSL所使用的64 KB記憶體,竊取內容可能包含使用者帳號密碼、信用卡卡號等交易資訊、企業內網機密資訊、伺服器之私密金鑰、、等等:
一. 影響範圍:使用OpenSSL版本1.0.1~ 1.0.1f// 1.0.2-beta ~ 1.0.2-beta1的應用程式或服務
二. 影響服務與常用埠號:
- HTTPS、SSLVPN (443)
- SMTPS (25, 465, 587)
- IMAPS (143, 993)
- POP3S (110, 995)
- FTPS (21, 990)
三. 預設安裝有漏洞OPENSSL的作業系統版本[4]:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
此外還有許多網路設備也有類似問題,建議直接參考行政院國家資通安全會報技術服務中心之open SSL專區。
四. 建議處理方式:
-
自我檢測:
-
1.1
使用Heartbleed Mass Testing Script工具[6]
-
1.2
使用行政院國家資通安全會報技術服務中心之open SSL專區所介紹各類檢測工具[9]
-
1.3
使用維基百科Heartbleed條目所提供之檢測工具超連結[12]
- 修補漏洞:升級至 OpenSSL 1.0.1g/1.0.2-beta1。若無法立即升級,可加上參數「-DOPENSSL_NO_HEARTBEATS」後重新編譯OpenSSL,請注意重編後會少了HEARTBEAT的功能,但此功能對服務正常運作影響不大,修補後請重開OpenSSL相關服務,並清除主機上的Session。
- 廢止舊憑證重新提出申請: TLS伺服器憑證所註記之公開金鑰對應之私密金鑰可能已經外洩,請重新產生金鑰對,以新憑證請求檔向憑證機構申請新TLS伺服器憑證,並申請舊SSL憑證之廢止。歡迎各界有Open SSL Heart bleed疑慮之單位向中華電信憑證管理中心申請TLS憑證。
- 後續觀察:密切注意所經管之伺服器或外界其他訊息是否存在大規模帳密外洩事件,可強制或提醒使用者更換密碼。
五. 參考資料:
-
[1]
http://www.openssl.org/news/secadv_20140407.txt
-
[2]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
-
[3]
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
-
[4]
http://devco.re/blog/2014/04/09/openssl-heartbleed-CVE-2014-0160/
-
[5]
https://tools.ietf.org/html/rfc6520
-
[6]
http://packetstormsecurity.com/files/126048/Heartbleed-Mass-Testing-Script.html
-
[7]
https://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2014-0035
-
[8]
http://devco.re/blog/2014/04/09/openssl-heartbleed-CVE-2014-0160/
-
[9]
http://www.ithome.com.tw/news/86593
-
[10]
行政院國家資通安全會報技術服務中心之open SSL專區
-
[11]
http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2014-0035
-
[12]
http://en.wikipedia.org/wiki/Heartbleed