漏洞
Heartbleed (CVE-2014-0160)
别称: CVE-2014-0160, OpenSSL 心跳漏洞
定义
2014 年 OpenSSL TLS 心跳扩展中的缓冲区越界读取漏洞,攻击者每次请求可读取最多 64 KB 进程内存,从而泄露密钥、会话与口令。
Heartbleed(CVE-2014-0160)于 2014 年 4 月披露,是 OpenSSL 1.0.1 至 1.0.1f 在处理 TLS 心跳消息时缺失边界检查导致的漏洞。攻击者发送一个声明 payload 长度大于实际值的心跳请求,服务器便会回送相应长度的相邻内存,且行为可重复进行、留下极少痕迹、走的是合法 TLS。被窃取的内容通常包括 RSA 私钥、会话 Cookie、凭据,以及 Web 服务器、VPN 网关与嵌入式设备中的邮件正文等。其影响引发全球范围的紧急打补丁、密钥轮换与证书吊销。修复方法是升级至 OpenSSL 1.0.1g 及以上,并按已被入侵处理:更换密钥、吊销会话。
示例
- 攻击者读取知名 SaaS 的 TLS 私钥,用于解密已捕获的流量。
- 大规模窃取受影响服务器上已认证用户的会话 Cookie。
相关术语
缓冲区溢出
内存安全缺陷:程序写入数据超出已分配缓冲区末尾,破坏相邻内存,常被用于实现代码执行。
内存破坏
对一类漏洞的统称:程序在预期内存范围之外读写,破坏类型安全、控制流或数据完整性。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
CVE(通用漏洞披露)
为每个已披露的软件或硬件漏洞分配唯一标识符的公共目录,使其能在全行业被明确引用。
已知被利用漏洞(KEV)
由美国 CISA 确认正在被实际利用并加入公开 KEV 目录的 CVE,会触发美国联邦机构的修复时限。
完美前向保密
协议属性,确保长期密钥即便日后泄露也无法解密以前会话的流量。