越界漏洞技术分析.pdf

61中国金融电脑信息安全 Information (北京) 王秋晨越界漏洞技术分析2014 年 4 月和 9 月,信息安全领域爆出两个高危风险漏洞——Heart Bleed 漏洞和 Bash ShellShock 漏洞,对金融应用、邮箱等 HTTPS 服务器和个人电脑信息安全造成严重威胁,一度引发经济社会的整体性恐慌,引起公众对信息基础技术漏洞与安全的极大关注。本文对 Heart Bleed 和 Bash ShellShock 漏洞进行较为详细的技术分析,着重对漏洞产生的原因、威胁以及修复方法进行介绍,为企业相关服务器安全防护、个人敏感信息防护和金融交易安全提出建议。一、Heart Bleed 漏洞1. 简述Heart Bleed 漏洞首先被谷歌研究员 Neel Mehta 发现,OpenSSL 于 2014 年 4 月 7 日发布安全公告称, 版本中存在严重漏洞(CVE-2014-0160,见表 1)。该漏洞可随机泄漏 HTTPS 服务器 64k 内存,内存中可能会含有程序源码、用户 HTTP 原始请求、用户 cookie 甚至明文账号口令等。网银、网购、网上支付、邮箱等众多网站均可能受其影响。 与 OpenSSL(1)SSL 协议安全套接层协议(Secure Sockets Layer,SSL)可以在 scape 公司在推出第一个 Web 浏览器的同时,提出了 SSL 协议标准,其目标是保障两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。目前,SSL 上保密通信的工业标准。SSL 协议要求建立在可靠的传输层协议(TCP) 之上,其优势在于 SSL 协议与应用层协议独立,高层的应用层协议( 例如:HTTP,FTP, 等) 能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保障通信的机密性。目前多数通过 SSL 协议加密的网站均使用 OpenSSL开源软件包。(2)OpenSSLOpenSSL 是一个强大的安全套接字层密码库,包括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其他目的使用。OpenSSL 采用 C 语言作为开发语言, 这使得漏洞名称 OpenSSL TLS 信息泄露漏洞CVE 编号 CVE-2014-0160漏洞发现者 Neel Mehta(google)漏洞公布时间 2014-04-07漏洞影响系统Debian Wheezy (stable), OpenSSL -2+deb7u4 Ubuntu LTS, - CentOS , -15 Fedora 18, OpenSSL -4 OpenBSD (OpenSSL 10 May2012) and (OpenSSL 10 May2012) FreeBSD - OpenSSL 11Feb BSD (OpenSSL )O