当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-056344

漏洞标题:任何平台任何使用openssl库的程序都可能受到攻击(非https)

相关厂商:全部厂商

漏洞作者: insight-labs

提交时间:2014-04-09 11:08

修复时间:2014-05-24 11:08

公开时间:2014-05-24 11:08

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-09: 细节已通知厂商并且等待厂商处理中
2014-04-09: 厂商已经确认,细节仅向厂商公开
2014-04-19: 细节向核心白帽子及相关领域专家公开
2014-04-29: 细节向普通白帽子公开
2014-05-09: 细节向实习白帽子公开
2014-05-24: 细节向公众公开

简要描述:

经过全网扫描和大量测试,我们发现受影响的不仅限于linux平台下的应用和服务,在windows服务器上使用openssl库提供服务的程序也会收到影响,

详细说明:

经过简单的测试,在使用SMTP over SSL, SMTP over TLS,POP3 over SSL,SMTP 等服务时,在heartbleed的攻击下,可以导致这些服务从内存中泄露出登录的用户名密码,邮件内容,服务器配置等信息。可以对进一步渗透提供很大帮助。
例如一些通用的SMTP服务器和POP3服务器。

CYF%D6V1HK6IWPMIAA4WD$Q.jpg


45}`A642UHOY87CR}X1N%JI.jpg


邮件内容

60LBAF2O2ECZ_{XK{SCX(9Q.jpg

漏洞证明:

CYF%D6V1HK6IWPMIAA4WD$Q.jpg


45}`A642UHOY87CR}X1N%JI.jpg


邮件内容

60LBAF2O2ECZ_{XK{SCX(9Q.jpg

修复方案:

你们懂的

版权声明:转载请注明来源 insight-labs@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-09 13:49

厂商回复:

对所述测试过程先行确认,对于openssl TLS协议组件的测试全国目前都还在进行。对于非https协议,只要承载关联服务的实例,已经测试遇到过。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-09 11:09 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    终于来到前排了。@全部厂商

  2. 2014-04-09 11:12 | qwerty ( 普通白帽子 | Rank:116 漏洞数:16 | 已注销)

    铁甲依然在

  3. 2014-04-09 11:12 | T-MAC ( 路人 | Rank:19 漏洞数:2 )

    这个霸气,@全部厂商

  4. 2014-04-09 11:12 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    全部厂商

  5. 2014-04-09 11:13 | mos ( 路人 | Rank:5 漏洞数:1 )

    前排留名。。

  6. 2014-04-09 11:14 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    cert要通报谁呢,全国通报吗

  7. 2014-04-09 11:18 | Ebon_Wolf ( 实习白帽子 | Rank:48 漏洞数:24 | 您好,我似咣咚朲,需要服务吗?专业酱油工...)

    还是人家国外的黑客爆的洞,牛逼什么???我无意伤害任何人~~大家就不要对号了~~

  8. 2014-04-09 11:21 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

  9. 2014-04-09 11:23 | insight-labs 认证白帽子 ( 普通白帽子 | Rank:623 漏洞数:75 | Security guys)

    @Ebon_Wolf 不牛逼啊,大家都不都是刷个分而已么……

  10. 2014-04-09 11:26 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | 未满18周岁,不准进入.)

    牛B.顶!明天我发个任何后台任何弱口令 @全体厂商

  11. 2014-04-09 11:27 | H1d3r ( 路人 | Rank:18 漏洞数:2 |  ‮)

    - -全部厂商。。。。

  12. 2014-04-09 11:27 | Social ( 路人 | Rank:0 漏洞数:1 | 我有舒肤佳,谁要看。)

    厂商那里好霸气!!1

  13. 2014-04-09 11:29 | gm100861 ( 路人 | Rank:1 漏洞数:2 | http://www.gm100861.com/)

    大牛,你为何这么屌

  14. 2014-04-09 11:30 | 良木 ( 路人 | Rank:1 漏洞数:1 | Hard hard study,Day day up!)

    全部。。。

  15. 2014-04-09 11:33 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    迅速展开围观

  16. 2014-04-09 11:39 | win32 ( 实习白帽子 | Rank:36 漏洞数:9 | 溜达)

    关注

  17. 2014-04-09 11:47 | rasca1 ( 实习白帽子 | Rank:53 漏洞数:16 | 菜鸟一只)

    。。。。。。为何这么屌?

  18. 2014-04-09 11:47 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    不知如何利用这个洞

  19. 2014-04-09 11:59 | G3mIn1 ( 路人 | Rank:5 漏洞数:5 | 我画兰江水悠悠,爱晚亭上枫叶稠。)

    @全部厂商

  20. 2014-04-09 12:00 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    没有openssl版本限制??难道和昨天的CVE-2014-0160有区别?

  21. 2014-04-09 12:04 | d3pT1 ( 路人 | Rank:1 漏洞数:2 | 人法地,地法天,天法道,道法自然。)

    围观

  22. 2014-04-09 12:09 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    端口的问题吧

  23. 2014-04-09 12:09 | 蘑菇 ( 路人 | Rank:11 漏洞数:1 | 没有做不到的,只有想不到的!)

    围观,@全部厂商

  24. 2014-04-09 12:13 | 正好五个字 ( 实习白帽子 | Rank:93 漏洞数:15 )

    围观

  25. 2014-04-09 12:15 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    牛逼……

  26. 2014-04-09 12:18 | 封印师 ( 路人 | Rank:4 漏洞数:3 | 我是小彩笔来的。...(。•ˇ‸ˇ•。) ...)

    不带这样牛逼刷分的!

  27. 2014-04-09 12:29 | 烈酒香烟 ( 路人 | Rank:3 漏洞数:1 )

  28. 2014-04-09 12:30 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    一棒子把所有刷分的都打死了 哈哈哈!

  29. 2014-04-09 12:43 | ding ( 路人 | Rank:0 漏洞数:1 | ding)

    像是SMTP STARTTLS也会有问题

  30. 2014-04-09 12:56 | pkGFW ( 路人 | Rank:3 漏洞数:1 | |先从安全意识做起)

    霸气!相关厂商: 全部厂商

  31. 2014-04-09 13:03 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    到底是乌云先曝这个漏洞还是360?又火了一把。 @疯狗 @xsser

  32. 2014-04-09 13:09 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这是垄断包圆的意思么

  33. 2014-04-09 13:10 | island ( 路人 | Rank:5 漏洞数:4 | 天使的面孔 撒旦的灵魂)

    任何使用那个库的都有可能

  34. 2014-04-09 13:27 | wangbing86 ( 路人 | Rank:2 漏洞数:1 | 慢慢学习路)

    掉渣天

  35. 2014-04-09 13:33 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

    碉堡了

  36. 2014-04-09 13:34 | 钱富贵 ( 路人 | Rank:6 漏洞数:2 | 掘金黑客 别人肉我)

    国外看的东西就跑来发,没意思,让我在国内多玩一阵不行吗

  37. 2014-04-09 18:35 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @小人物Reno 这种漏洞一般都乌云读书频道首发的啊,多多关注 :) @瞌睡龙

  38. 2014-04-09 20:04 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    关于ssllib都会有问题.这类漏洞虽然利用比较局限.危害程度算中.但是辐射过广.

  39. 2014-04-10 10:58 | 瞌睡龙 ( 实习白帽子 | Rank:59 漏洞数:5 | fighting……)

    @小人物Reno 去年的webview与今年的OpenSSL的都是知识库国内首发的 :)

  40. 2014-04-10 11:14 | Ivan ( 实习白帽子 | Rank:81 漏洞数:9 | 小菜逼一个)

    前排关注

  41. 2014-04-10 13:27 | 太阳风 ( 路人 | Rank:10 漏洞数:1 | 喜欢安全的攻城师一个,喜欢研究web和溢出...)

    关注

  42. 2014-04-11 09:22 | hnnetsafe ( 路人 | Rank:0 漏洞数:1 | 信息安全中心)

    有没有细节啊

  43. 2014-04-16 03:02 | Lucien ( 路人 | Rank:4 漏洞数:1 | 一个普通用户)

    全部厂商。。。太霸气了

  44. 2014-04-19 23:21 | hnnetsafe ( 路人 | Rank:0 漏洞数:1 | 信息安全中心)

    给个详细点的

  45. 2014-04-29 15:17 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我比较好奇这是怎么搞出来的,直接换个端口号就OK了?

  46. 2014-05-09 14:21 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    厂商回复!!!那个厂商回复的 我想知道……哈哈

  47. 2014-05-24 14:32 | ddy ( 实习白帽子 | Rank:44 漏洞数:16 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    @全部厂商。。@的了吗。。。好牛X。。。厂商回复!!!到底是哪个厂商回复的 我想知道……哈哈