安全公告编号:CNTA-2014-0012

4月8日，国家信息安全漏洞共享平台CNVD收录了OpenSSL存在的一个内存泄露高危漏洞（CNVD编号：CNVD-2014-02175，对应CVE-2014-0160）。攻击者利用漏洞可以读取系统的内存数据，从而获得密钥、用户账号密码和cookies等敏感信息，对目前各类基于OpenSSL的服务器应用安全构成严重的威胁。具体情况通报如下：

一、漏洞情况分析

OpenSSL是一款开放源码的SSL实现，用来实现网络通信的高强度加密。漏洞与OpenSSL TLS/DTLS传输层安全协议heartbeat扩展组件(RFC6520)相关，因此漏洞又被称为“heartbleed bug”（中文名称：“心血”漏洞）。CNVD测试结果表明，该漏洞无需任何特权信息或身份验证，就可以获得X.509证书的私钥、用户名与密码、cookies等信息，进一步可直接从服务提供商和用户通讯中窃取聊天工具消息、电子邮件以及重要的商业文档和通信等私密数据。

二、漏洞影响范围

CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的产品包括：OpenSSL 1.0.1-1.0.1f版本。目前，根据CNVD合作伙伴WOOYUN网站以及相关白帽子的测试结果，一些大型互联网企业的网站服务器受到影响。由于OpenSSL还会应用到一些VPN、邮件、即时聊天等类型的服务器上，因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码，预计在近期针对该漏洞的攻击将呈现激增趋势。

三、漏洞处置建议

目前，OpenSSL 1.0.1g已修复该漏洞。CNVD建议相关用户及时下载使用。如无法及时升级，可参考openssl官方建议重新编译加上-DOPENSSL_NO_HEARTBEATS。

相关安全公告链接参考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2014-02175

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://osvdb.com/show/osvdb/105465

http://heartbleed.com/

http://www.wooyun.org/bugs/wooyun-2014-055932