关于 OpenSSL“心脏出血”漏洞的分析

释放双眼,带上耳机,听听看~!

文章转载开源中国

#高危漏洞预警#昨日有国外黑客爆出OpenSSL存在一处内存泄漏漏洞,该漏洞可随机泄漏https服务器64k内存,内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等,已经有多个白帽给乌云君提供了漏洞影响证明,涉及大量互联网企业与电商,紧急!http://t.cn/8so46dR

原作者:Sean Cassidy 原作者Twitter:@ex509 原作者博客:http://blog.existentialize.com 来源:http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

当我分析GnuTLS的漏洞的时候,我曾经说过,那不会是我们看到的最后一个TLS栈上的严重bug。然而我没想到这次OpenSSL的bug会如此严重。

OpenSSL“心脏出血”漏洞是一个非常严重的问题。这个漏洞使攻击者能够从内存中读取多达64 KB的数据。一些安全研究员表示:

无需任何特权信息或身份验证,我们就可以从我们自己的(测试机上)偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档和通信等数据。

这一切是如何发生的呢?让我们一起从代码中一探究竟吧。

0x01 Bug


请看ssl/dl_both.c,漏洞的补丁从这行语句开始:

1

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Tengine-2.0.2 发布,修复 SPDY 安全漏洞

2014-3-28 11:12:22

安全漏洞

新数据证实黑客能通过Heartbleed漏洞窃取私钥

2014-4-15 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索