及時修復“心臟出血”漏洞

文/鄭先偉

及時修復“心臟出血”漏洞

文/鄭先偉

4月教育網整體運行平穩，未發現嚴重的安全事件。需要關注的安全事件有兩個，一個是微軟在4月停止了對Windows XP系統的安全支持，雖然國內有很多廠商宣稱會繼續為XP系統提供安全技術支持，但是XP 系統畢竟是十幾年前的產物，它在安全性上已經無法滿足現今網絡環境的需求。所以我們還是建議有條件的用戶盡快使用更新版本的操作系統替代XP系統。另一件需要關注的事是OpenSSL的心臟流血漏洞，由于OpenSSL使用的廣泛性使得這個漏洞影響各類加密服務。我們對教育網內受此漏洞影響的網站和系統進行統計發現,教育網內受影響較大的主要有學校使用SSL VPN服務器、郵件服務器以及一些自主開發的認證登錄系統等。

由于4月起我們與烏云網站合作，因此處理的網站漏洞及入侵事件的數量有所增多，涉及的網站均為各高校的二級網站，也有部分為主頁。

病毒與木馬

2014年3～4月安全投訴事件統計

近期需要關注的病毒和木馬是那些針對家用路由器攻擊的代碼。由于大部分現在所使用的家用路由器和家用無線設備都存在配置或是系統軟件上的安全漏洞，導致這些設備成為木馬攻擊的對象。這類攻擊一般有兩種途徑，一種是將攻擊木馬放置在網頁中，然后引誘用戶訪問該網頁，通過瀏覽器運行腳本來攻擊路由器。另一種方式則是直接接入該無線設備的內網，然后通過管理地址進行攻擊。這類木馬一旦成功攻擊路由器后就會篡改路由器上的DNS設置，從而達到劫持用戶訪問的目的。

近期新增嚴重漏洞評述

微軟 4月的例行安全公告數量較少，只有4個（MS14-017至MS14-020)個,其中2個為嚴重等級，2個為重要等級，這些公告共修補了Windows系統、Office軟件、IE瀏覽器、SharePoint Server和Office Web Apps中的11個安全漏洞。相關的漏洞信息請參見： http://technet.microsoft.com/ zh-cn/security/bulletin/ms14-Apr。

Adobe公司4月的安全公告有2個(APSB14-09和APSB14-12)，其中APSB14-09修補了Flash player軟件中的4個安全漏洞，APSB14-12修補了Adobe Reader移動版里的1個安全漏洞。相關公告詳細信息請參見：https://www.adobe.com/support/security。

Oracle公司今年第二季度的安全公告共修復了其公司多款產品中存在的104個安全漏洞，其中高危漏洞24個，可直接遠程利用的97個。漏洞的詳細信息請參見：http://www.oracle.com/technetwork/ topics/security/cpuapr2014-1972952.html。

除上述例行安全公告外，以下產品的漏洞需要特別關注：

OpenSSL是TLS/SSL協議最流行的實現，在許多商業化的系統中廣為采用。心跳（HeartBeat）是TLS/SSL協議中的一個擴展選項（RFC6520），它允許SSL連接雙方中的一端向另一端發送一條消息以確認對方是否仍然在線，驗證的過程如下：

1.請求方會發送一個心跳查詢包，此數據包含以下信息：

（1）包的類型type1（查詢）

（2）驗證數據的大小length1（最大可設為64k）

（3）驗證數據data1（最大64k）

2.應答方則會根據查詢包的信息，生成心跳應答包，包含以下信息：

（1）包的類型tpye2（應答包）

（2）數據段的大小length2（根據查詢包的length1生成）

（3）驗證數據data2（包含完整的data1內容）

OpenSSL的某些版本（1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f）在實現Heartbeat模塊功能時存在漏洞，該模塊沒有有效的驗證查詢包中的data1的實際大小，而直接按照查詢包中length1的大小生成length2并按此大小去申請內存空間。當攻擊者將length1設置為64k，并且將data1設置為1個字節時，heartbeat模塊會按照lenght1的大小生成length2并申請內存空間并去內存中讀取數據，但是由于沒有足夠多的data1數據，該模塊就會直接讀取內存中data1后面的其他數據去填充data2生成應答包返回給攻擊者。這個漏洞導致攻擊者可以直接獲取服務器內存中的數據，理論上攻擊者每次最多能獲取64K的內存內容，這些內存信息中可能包括明文的用戶登錄信息（用戶名/口令）、電子郵件登錄信息和郵件內容、網站cookie、以及其它一些原本需要加密的明文信息。

（作者單位為中國教育和科研計算機網應急響應組）