[資安]OpenSSL存在高風險CVE-2014-0160漏洞

發佈編號 發佈時間
事故類型 ANA-漏洞預警 發現時間 2014-04-09 00:00:00
影響等級    
[主旨說明:]OpenSSL存在高風險CVE-2014-0160漏洞
[內容說明:]
轉發國家資通安全會報 技術服務中心 

漏洞/資安訊息警訊 
ICST-ANA-2014-0006 OpenSSL存在高風險漏洞 (漏洞編號:CVE-2014-0160),
漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關,
因此漏洞又被稱為heartbleed漏洞,將造成記憶體內容外洩風險。 

攻擊者利用該漏洞無需通過權限或身分驗證,即可讀取伺服器記憶體,
竊取x.509加密金鑰、使用者帳號密碼、cookies等,將可對 OpenSSL 
保護的網路通信進行解密、偽冒或進行中間人攻擊,竊取e-mail、文件
及通訊內容等機敏資訊。 
[影響平台:]
OpenSSL 1.0.1~1.0.1f版本
OpenSSL 1.0.2-beta~1.0.2-beta1版本 

影響系統版本:安裝有弱點版本OpenSSL的任意作業系統 
[建議措施:]
1.安裝有OpenSSL的主機可於登入後執行 openssl version指令
  確認使用OpenSSL版本是否為受影響版本。 

2.OpenSSL已釋出相關修補程式: OpenSSL 版本 1.0.1系列 - 更新至版本1.0.1g。 
  OpenSSL 版本 1.0.2-beta1 - 更新至版本1.0.2-beta2。
  (截至4/11官網尚未釋出,請再注意官網更新) 
  修補程式詳見:https://www.openssl.org/source/ 
[參考資料:]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 
https://www.openssl.org/news/secadv_20140407.txt 
http://heartbleed.com/ 
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160 
http://www.securityfocus.com/bid/66690/info 


如果您對此通告的內容有疑問或有關於此事件的建議,請以下述聯絡資訊連絡。

國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@icst.org.tw