华为安全第一时间封堵2014重大安全漏洞HeartBleed Bug

   昨晚(4月9日),OpenSSL爆出2014年度最严重的安全漏洞HeartBleed Bug。OpenSSL是一个使用非常广泛的开源加密库,用来实现网络通信的加密协议,该协议在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上被广泛使用,网站地址使用https://开头的就是采用了OpenSSL安全协议。

  该漏洞利用的成本极低,黑客可以很轻易的收集到包括用户账户密码的隐私信息。危害波及全球70%以上的网站,无论用户电脑安全防护措施多么周全,只要网站使用了存在该漏洞的OpenSSL版本,用户登录该网站时就有被黑客实时充值到账号密码的风险。

  华为安全能力中心在第一时间获取HeartBleed漏洞后24小时内就完成了技术分析并给出应对措施。华为安全能力中心分析指出:HeartBleed漏洞主要利用TLS心跳造成远程信息泄露漏洞,简单来解释就是黑客给OpenSSL发送一个畸形的心跳请求,则会造成64K的内存数据泄露,黑客可以通过这样的手段持续Dump很多内存出来,尽管里边包含了很多无用和截断的信息,但是可以收集到很多隐私信息,比如私钥,用户名,密码,cookie等等。
  针对漏洞的技术原理,华为安全产品快速给出应对解决app:实时开发针对性的签名,利用请求包的长度和次数做检测,防止利用此漏洞做渗透攻击。

  华为安全专家同时建议:

  1.立即更新补丁。 OpenSSL Project已经为此发布了一个安全公告(secadv_20140407)以及相应补丁,集成OpenSSL的系统应该第一时间打上该补丁;

  2.增强安全产品的检测能力。如果您的企业已部署华为安全设备,则此问题现在已经得到解决;

  3.如果您是最终用户,建议您注意修改密码,尤其是如果最近登陆过存在该漏洞的网站。

  华为全系列安全产品已发布针对该漏洞的安全公告,并及时发布了该漏洞的签名规则,升级特征库更新安全能力。华为安全能力中心的快速响应,结合华为安全设备实时在线升级,保障客户第一时间免除漏洞危害。

漏洞名称:OpenSSL TLS DTLS 心跳消息信息泄露
发布日期:2014-04-07
漏洞类型:信息泄露
CVE编号:CVE-2014-0160
漏洞评估:严重
受影响的系统:
OpenSSL Project OpenSSL 1.0.1g 之前的版本
OpenSSL Project OpenSSL 1.0.2-beta2 之前的版本
漏洞描述:
OpenSSL 1.0.1g 之前的版本,在处理 TLS 和 DTLS 心跳扩展包的时存在漏洞,远程攻击者可以通过构造异常的心跳消息触发缓冲区读取越界,从而获取服务器上的敏感信息。
参考信息:
http://heartbleed.com/
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
http://www.openssl.org/news/secadv_20140407.txt
https://bugzilla.redhat.com/show_bug.cgi?id=1084875

鉴于此漏洞的严重程度和影响范围,华为已于2014年4月9日紧急更新特征库,用以防御该攻击,请用户及时升级特征库版本。