越界漏洞技术分析.pdfVIP

信息安全 Information Security 越界漏洞技术分析 中国工商银行股份有限公司数据中心（北京） 王秋晨 2014 年 4 月和 9 月，信息安全领域爆出两个高危风 SSL 协议要求建立在可靠的传输层协议 (TCP) 之上， 险漏洞——Heart Bleed 漏洞和 Bash ShellShock 漏洞， 其优势在于 SSL 协议与应用层协议独立，高层的应用层 对金融应用、邮箱等 HTTPS 服务器和个人电脑信息安 协议 ( 例如：HTTP，FTP，TELNET 等 ) 能透明地建立 全造成严重威胁，一度引发经济社会的整体性恐慌，引 于 SSL 协议之上。SSL 协议在应用层协议通信之前就已 起公众对信息基础技术漏洞与安全的极大关注。 经完成加密算法、通信密钥的协商及服务器认证工作。 本文对 Heart Bleed 和 Bash ShellShock 漏洞进行较 在此之后，应用层协议所传送的数据都会被加密，从而 为详细的技术分析，着重对漏洞产生的原因、威胁以及 保障通信的机密性。 修复方法进行介绍，为企业相关服务器安全防护、个人 目前多数通过 SSL 协议加密的网站均使用 OpenSSL 敏感信息防护和金融交易安全提出建议。 开源软件包。 （2）OpenSSL 一、Heart Bleed 漏洞 OpenSSL 是一个强大的安全套接字层密码库，包 1. 简述 括主要的密码算法、常用的密钥和证书封装管理功能及 Heart Bleed 漏洞首先被谷歌研究员 Neel Mehta 发 SSL协议，并提供丰富的应用程序供测试或其他目的使用。 现，OpenSSL 于 2014 年 4 月 7 日发布安全公告称，在 OpenSSL 采 用 C 语 言 作 为 开 发 语 言， 这 使 得 OpenSSL1.0.1 版本中存在严重漏洞 (CVE-2014-0160， 表 1 Heart Bleed 心脏出血漏洞 见表 1)。该漏洞可随机泄漏 HTTPS 服务器 64k 内存， 内存中可能会含有程序源码、用户 HTTP 原始请求、用 漏洞名称 OpenSSL TLS信息泄露漏洞 户 cookie 甚至明文账号口令等。网银、网购、网上支付、 CVE编号 CVE-2014-0160 邮箱等众多网站均可能受其影响。 漏洞发现者 Neel Mehta（google） 漏洞公布时间 2014-04-07 2.SSL 与 OpenSSL Debian Wheezy (stable), OpenSSL 1.0.1e- （1）SSL 协议 2+deb7u4 Ubuntu 12.04.4 LTS, OpenSSL 安全套接层协议（Secure Sockets Layer，SSL）可 1.0.1-4ubuntu5.11 CentOS 6.5, Ope