OpenSSL存在高風險CVE-2014-0160漏洞
- 發布單位:TWCERT/CC
- 更新日期:2019-03-29
- 點閱次數:449
CVE編號
尚無CVE編號
內文
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0006
OpenSSL存在高風險漏洞 (漏洞編號:CVE-2014-0160),漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關,因此漏洞又被稱為heartbleed漏洞,將造成記憶體內容外洩風險。
攻擊者利用該漏洞無需通過權限或身分驗證,即可讀取伺服器記憶體,竊取x.509加密金鑰、使用者帳號密碼、cookies等,將可對 OpenSSL 保護的網路通信進行解密、偽冒或進行中間人攻擊,竊取e-mail、文件及通訊內容等機敏資訊。
影響產品
OpenSSL 1.0.1~1.0.1f版本、 OpenSSL 1.0.2-beta~1.0.2-beta1版本 ■影響系統版本:安裝有弱點版本OpenSSL的任意作業系統
解決辦法
1.安裝有OpenSSL的主機可於登入後執行 openssl version指令確認使用OpenSSL版本是否為受影響版本。
2.OpenSSL已釋出相關修補程式:
OpenSSL 版本 1.0.1系列 - 更新至版本1.0.1g。
OpenSSL 版本 1.0.2-beta1 - 更新至版本1.0.2-beta2。(截至4/11官網尚未釋出,請再注意官網更新)
修補程式詳見:https://www.openssl.org/source/
2.OpenSSL已釋出相關修補程式:
OpenSSL 版本 1.0.1系列 - 更新至版本1.0.1g。
OpenSSL 版本 1.0.2-beta1 - 更新至版本1.0.2-beta2。(截至4/11官網尚未釋出,請再注意官網更新)
修補程式詳見:https://www.openssl.org/source/