華為安全第一時間封堵2014重大安全漏洞HeartBleed Bug

   昨晚(4月9日),OpenSSL爆出2014年度最嚴重的安全漏洞HeartBleed Bug。OpenSSL是一個使用非常廣泛的開源加密庫,用來實現網絡通信的加密協議,該協議在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上被廣泛使用,網站地址使用https://開頭的就是采用了OpenSSL安全協議。

  該漏洞利用的成本極低,黑客可以很輕易的收集到包括用戶賬戶密碼的隱私信息。危害波及全球70%以上的網站,無論用戶電腦安全防護措施多么周全,只要網站使用了存在該漏洞的OpenSSL版本,用戶登錄該網站時就有被黑客實時監控到賬號密碼的風險。

  華為安全能力中心在第一時間獲取HeartBleed漏洞后24小時內就完成了技術分析并給出應對措施。華為安全能力中心分析指出:HeartBleed漏洞主要利用TLS心跳造成遠程信息泄露漏洞,簡單來解釋就是黑客給OpenSSL發送一個畸形的心跳請求,則會造成64K的內存數據泄露,黑客可以通過這樣的手段持續Dump很多內存出來,盡管里邊包含了很多無用和截斷的信息,但是可以收集到很多隱私信息,比如私鑰,用戶名,密碼,cookie等等。
  針對漏洞的技術原理,華為安全產品快速給出應對解決方案:實時開發針對性的簽名,利用請求包的長度和次數做檢測,防止利用此漏洞做滲透攻擊。

  華為安全專家同時建議:

  1.立即更新補丁。 OpenSSL Project已經為此發布了一個安全公告(secadv_20140407)以及相應補丁,集成OpenSSL的系統應該第一時間打上該補??;

  2.增強安全產品的檢測能力。如果您的企業已部署華為安全設備,則此問題現在已經得到解決;

  3.如果您是最終用戶,建議您注意修改密碼,尤其是如果最近登陸過存在該漏洞的網站。

  華為全系列安全產品已發布針對該漏洞的安全公告,并及時發布了該漏洞的簽名規則,升級特征庫更新安全能力。華為安全能力中心的快速響應,結合華為安全設備實時在線升級,保障客戶第一時間免除漏洞危害。

漏洞名稱:OpenSSL TLS DTLS 心跳消息信息泄露
發布日期:2014-04-07
漏洞類型:信息泄露
CVE編號:CVE-2014-0160
漏洞評估:嚴重
受影響的系統:
OpenSSL Project OpenSSL 1.0.1g 之前的版本
OpenSSL Project OpenSSL 1.0.2-beta2 之前的版本
漏洞描述:
OpenSSL 1.0.1g 之前的版本,在處理 TLS 和 DTLS 心跳擴展包的時存在漏洞,遠程攻擊者可以通過構造異常的心跳消息觸發緩沖區讀取越界,從而獲取服務器上的敏感信息。
參考信息:
http://heartbleed.com/
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
http://www.openssl.org/news/secadv_20140407.txt
https://bugzilla.redhat.com/show_bug.cgi?id=1084875

鑒于此漏洞的嚴重程度和影響范圍,華為已于2014年4月9日緊急更新特征庫,用以防御該攻擊,請用戶及時升級特征庫版本。

 

中国6一12呦女精品