当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075680

漏洞标题:奇虎360核心业务依然存在心脏滴血

相关厂商:奇虎360

漏洞作者: Jannock

提交时间:2014-09-10 16:15

修复时间:2014-10-25 16:16

公开时间:2014-10-25 16:16

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-10: 细节已通知厂商并且等待厂商处理中
2014-09-10: 厂商已经确认,细节仅向厂商公开
2014-09-20: 细节向核心白帽子及相关领域专家公开
2014-09-30: 细节向普通白帽子公开
2014-10-10: 细节向实习白帽子公开
2014-10-25: 细节向公众公开

简要描述:

奇虎360核心业务依然存在心脏滴血,用户登陆接口?不深入。。。

详细说明:

无意间发现
IP:220.181.150.247:443
存在openssl 信息泄露:

220.181.150.247  js.login.360.cn
.@.T /api.php HTTP/1.0..X-QIHOO-IP: 211.138.5.40..X-Forwarded-For: 211.138.5.40..Host: passport.360.cn..Connection: close..Content-Length: 431..Content-Type: application/x-www-form-urlencoded..User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)....parad=ARjz%2BzN55d%2FedKS6NzhXizuh1VrfU7%2BbAp11FCdIKCwdx%2B7c7QITti6TlR6Ow%2FPxRydnfvS4eGoRJgvH9PLVymDGvUhC4iYKWIecg8J3%2Fc9VQ9MpqFHLUB2dhibgXh7PD%2B69cOMGjRRuyW95IRuUKYhCHayBTg0ZMW1cHie8XlmtN7NyrhfL989ijLwedB499CzRvqHFAldWD761NbzP61KHuiPC185n9ABWkKRducVXTI0OL8g7QEz5psLBd5bF3HfbI%2FjtVi8lKsYn7CfkAm6oSL28ztnUamhhm8NmxHzM%2FqLf%2Fxa0UgWVL9xadUtFsje9tyCJatllaoNmS%2BxXhdqAXxK9%2F4kNZIBcCMd4sCFFnb4%2BT01WWg&from=mpl_mobileGuard_and^.j.5Q.....<).8.........................d6%2FvrFym1g%2Ftog%2BauNm6QoHkvwdUwUCJI8KbVMzOIx2SGwunzK58MiRD23yleZ10SDknJRhw0hY7uewvMICimCjt76oC%2B6xia7UEjhOzNtdSa2oBKGltBuI2c5emT5V5MA09q8PjW1Nszs0nZLupc28rAF2f0ZnaT6zwbqkteu4SuZSbGEZ2ffxiJRtiphUa5mvGZFwxIsECOf1zesDf6KPMDpx%2BoKVfW267VUoJbH5%2FSUAgPN3ttDegnTL72GRZIsZ1zSjbaxM&from=mpl_zhushouB%.&*...:.Ndv ..........xNzWTehY6hlE7a29LxvMrRm6Ln2VKKwAg&from=mpl_mobileGuard_and+h.e.'.......k...KB.......{./R1...........T/.HlPD[. ..}<.........A......../<......."h..!@Gq....%.y...M%)VJ..)T.....g3p.>S5..w._.R.?3.,wCr...e&.....5l;dkB.~.gg...}.e....X.%z.K...7O..z.M...L...h'{.9;....7W!....}1........B...........-...............SNJT1xyIXfKgVRltbJ%2FgsO6Os8EXSTFclZkJxZ1NMHGTGJSwS9XaRwlNEX5ZzAAvcypyUArvIWIFyKLKlgv5Lp%2BvkY4frlLDMlH8rdPRvEQV8yshevlA&from=mpl_mobileGuard_and..[..,...p?..E..%..<...........!(7.............OT49H) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 UCBrowser/9.9.3.478 U3/0.8.0 Mobile Safari/533.1..Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8,UC/145,plugin/1,alipay/un..X-UCBrowser-UA: dv(G4LTE03);pr(UCBrowser/9.9.3.478);ov(Android 4.4.2);ss(540*922);bt(UM);pm(1);bv(1);nm(0);im(0);sr(0);nt(0);.......`.+.N...f.Y..5..~.............text/html, image/png, image/jpeg, image/gif, */*;q=0.1..Accept-Charset: utf-8, iso-8859-1, utf-16, *;q=0.7..Accept-Encoding: gzip..Cookie: Q=u%3D%25R1%25S7%25P1%25Q4%25P5%25NR%25P9%25S1%25Q6%25NR%25P5%25NQ%26n%3D%25Q4%25QN%25Q3%25QN%25PP%25RP%25O1%25P8%25O8%25QS%26le%3DZwZ3ZGt2BGHjWGDjpKRhL29g%26m%3DZGtmWGWOWGWOWGWOWGWOWGWOZmp1%26qid%3D293233026%26im%3D220255dq9816%26src%3Dmpc_open_ms_201200641%26t%3D1; T=s%3D8ea3b968163aa93bda596fb1e962c721%26t%3D1407220238%26lm%3D%26lf%3D1%26sk%3Dc8e9811b1ad6b1c48a098ca63ef256d2%26mt%3D1410308431%26rc%3D1%26v%3D2.0%26a%3D1; __guid=59808745.1763000124756271400.1403078126964.7295....A#T~L...,......U......................q. .t..@(;.*5.MV.T....C......L$......sp.d*.....`....X;.y].T..w.b.!,.Pk...[....7.[..y.PS6U!.d2E....F.KsA.n...#..RMC6...=

漏洞证明:

xxx.jpg

修复方案:

你们懂得!

版权声明:转载请注明来源 Jannock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-09-10 18:37

厂商回复:

感谢Jannock@乌云的及时反馈,此漏洞已得到紧急修复。
出现漏洞的机器属于近期上线的热备机,排查时确认该主机影响范围较小,因此漏洞rank定为10。
对于运维人员未经安全测试违规上线机器的工作失误,我们会严肃调查处理以避免类似情况再次发生。同时也欢迎广大白帽子向360反馈漏洞,谢谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-10 16:17 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    该问题已在其他平台报告过,故忽略。

  2. 2014-09-10 16:17 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    该问题已在其他平台报告过,故忽略。

  3. 2014-09-10 16:18 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    一哥一直提交新浪、QQ和百度。现在,周总不要笑,一哥来转战360了

  4. 2014-09-10 16:21 | greg.wu ( 普通白帽子 | Rank:815 漏洞数:99 | 打酱油的~)

    该问题已经从其他渠道获知,1rank

  5. 2014-09-10 16:24 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    该问题已经从其他渠道获知,1rank

  6. 2014-09-10 16:32 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    打脸啊~~~~啪啪啪,真响!!

  7. 2014-09-10 16:36 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    尼玛......吓死我了

  8. 2014-09-10 17:00 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    该问题已经从其他渠道获知,1rank

  9. 2014-09-10 17:04 | 承诺 ( 路人 | Rank:17 漏洞数:2 | 你关注的漏洞 发表了白帽子)

    该问题已在其他平台报告过,故忽略。

  10. 2014-09-10 17:21 | Draycen ( 路人 | Rank:0 漏洞数:1 )

    该问题已在其他平台报告过,故忽略。

  11. 2014-09-10 17:27 | Adrian ( 路人 | Rank:6 漏洞数:3 | 菜鸟菜鸟)

    该问题已在其他平台报告过,故忽略。

  12. 2014-09-10 17:34 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    该问题已在其他平台报告过,故忽略。

  13. 2014-09-10 17:37 | xy小雨 ( 普通白帽子 | Rank:171 漏洞数:50 | 成为海贼王的男人)

    该问题已在其他平台报告过,故忽略。

  14. 2014-09-10 17:55 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    该问题已在其他平台报告过,故忽略。

  15. 2014-09-10 18:03 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    该问题已在其他平台报告过,故忽略。

  16. 2014-09-10 18:31 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    哈哈哈

  17. 2014-09-10 18:32 | c0nt ( 路人 | Rank:1 漏洞数:7 )

    该问题已在其他平台报告过,故忽略。

  18. 2014-09-10 18:33 | Brick713 ( 路人 | Rank:0 漏洞数:2 | 擅长围观各种漏洞,我就看看,偷摸试试。)

    该问题已在其他平台报告过,故忽略。

  19. 2014-09-10 19:05 | r3nty ( 路人 | Rank:2 漏洞数:3 )

    该问题已在其他平台报告过,故忽略。

  20. 2014-09-10 19:07 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    前来围观一哥。

  21. 2014-09-10 19:55 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    你们太天真了 一哥提交的敢忽略?

  22. 2014-09-13 00:37 | 9k九块钱 ( 路人 | Rank:8 漏洞数:11 | ส็็็็็็็็็็็็็็็็็็็...)

    运维已开除!

  23. 2014-09-19 20:54 | Gayer ( 路人 | Rank:2 漏洞数:1 | qq403795085)

    拜师啊 大牛 QQ403795085 可否加下QQ

  24. 2014-10-26 00:18 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    肃调查处理...洞主来搞我们把 我们漏洞我提了三遍他们都当耳旁风 想开了那个运维