分类
安全播报

HeartBleed 漏洞事件之后,天威诚信提示您还需要做哪些工作

尊敬的天威诚信SSL证书用户:

您好。

近期 OpenSSL 的 HeartBleed 漏洞消息被反复提及,天威诚信为保障您更安全的使用我司提供的SSL证书产品,已第一时间发布通知提醒您自查服务器 OpenSSL版本并提醒您通过更新版本修复漏洞。

我们再次提示您一些相关此漏洞的重点事实信息:

该漏洞不是 SSL/TLS 协议漏洞,也不是天威诚信提供的Symantec SSL 证书产品漏洞。

漏洞只影响 OpenSSL 1.0.1 至 1.0.1f 各版本用户,1.0.1g及其他更早版本不受影响。或在您编译安装 OpenSSL 时禁用 Heartbeat 扩展,也可不受该漏洞影响。

根据现有资料表明,存在漏洞的服务器在遭受攻击后将会泄露服务器内存中的隐私数据信息。

仅仅修复漏洞还不足够安全,攻击者可能已从之前的攻击行为中窃取部分关键数据。

在您完成漏洞修复工作之后,天威诚信仍需提示您,如果您的服务器曾经使用过包含漏洞的 OpenSSL版本并对外提供 https服务,攻击者就可能在漏洞存续期间窃取到您的服务器证书私钥数据。

为避免因SSL证书私钥泄密带来更为严重的安全隐患,天威诚信为所有受到该漏洞影响的客户免费提供服务器证书密钥替换服务(替换证书信息需与原证书信息保持一致)。

如果您需要证书免费替换服务,请随时联系我们为您提供证书替换服务指导。

联系我们:

******************************

天威诚信客户服务中心

官方网站:www.itrus.com.cn

技术支持:support@itrus.com.cn

服务热线:4006-365-010

直线电话:010-82961709

其他来自天威诚信的答复:

Q:我的服务器没有使用任何 OpenSSL 的版本,我需要做点什么吗?

A:您无需针对该漏洞做任何操作。

Q:我的服务器使用过含漏洞的 OpenSSL 版本,我该怎么做?

A:除了升级 OpenSSL 到最新的 1.0.1g外,降级到 1.0.0 或 0.9.8 都可以避免漏洞攻击。或在您重新编译安装 1.0.1 版本时,禁用 Heartbeat 模块。完成漏洞修复后,尽快联系天威诚信协助您替换证书,为证书更换新的密钥对。如果您在漏洞版本的 Web Server 上部署过需要认证登陆的Web 应用,在您完成其他安全升级之后,提醒您的网站用户修改密码,避免用户数据泄露。

Q:这次漏洞事件中,天威诚信的证书安全是受到了影响?证书颁发机构的安全不会有问题吧?

A:天威诚信提供Symantec全品牌、全线SSL证书产品。Symantec已在第一时间升级服务器端受该漏洞影响的服务器,同时已完成所有受影响服务器上的SSL证书密钥。证书颁发机构的CA证书不受此漏洞影响,因此CA证书无需更换且保障足够安全。

 

Q:我没有使用 Apache 或 Nginx 的 Web Server,我的服务器会受到漏洞影响吗?

A:除了 Apache 和 Nginx,OpenSSL还被广泛应用于其他传输加密运算。如果您的服务器使用其他方式调用 OpenSSL 加密程序库,也会受到漏洞影响。

当然如果您使用 Tomcat、Weblogic、Websphere 等基于 Java JCE 加密通讯服务的服务器,一定不会受到这个漏洞影响。

 

Q:如果我选择替换证书,需要收取费用吗?

A:受此漏洞影响的证书替换是免费的。我们为您提供免费的更换证书密钥服务并稍后为您废止可能存在密钥泄密风险的SSL证书

Q:我多长时间能收到替换后的新证书?

A:我们将在第一时间为您处理证书替换申请,在不损失服务器证书剩余有效期的前提下,通常两个工作日内就能收到替换后的新证书。

Q:天威诚信提供的代码签名证书受影响吗?

A:代码签名证书不受影响。

分类
安全播报

OpenSSL“心血”漏洞修复方案

如果你是站长,请按照下面解决方案进行修复:

第一步:
Debian/Ubuntu:
# apt-get update
# apt-get install openssl libssl1.0.0

CentOS/Redhat/Fedora:
# yum update openssl

openSUSE:
# zypper in -t patch openSUSE-2014-277

如果没有源或者不想从源安装,请手工将OpenSSL升级至1.0.1g版本

第二步:
修复完毕后,请重启WEB服务,Apache/Nginx/Httpd的重启方式分别如下:
# /etc/init.d/apache2 restart
# /etc/init.d/ngnix restart
# /etc/init.d/httpd restart

还需要重启其他与OpenSSL相关的服务。(可通过 lsof | grep libssl | awk ‘{print $1}’| sort | uniq 查看与OpenSSL库相关的服务)。

重启完毕后,可以进行验证。

分类
安全播报

OPENSSL漏洞简述与网络侧检测建议

1. CVE-2014-0160漏洞背景

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。
在目前已有的资料中,国内外同行已经称本漏洞为 “击穿心脏”、“毁灭级”、“今年最严重”的漏洞。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。

2. OpenSSL受影响版本的分布

根据已经公开的信息,该漏洞影响分布情况如下。

    1. OpenSSL 1.0.1f            (受影响)

 

    1. OpenSSL 1.0.2-beta   (受影响)

 

    1. OpenSSL 1.0.1g               (不受影响)

 

    1. OpenSSL 1.0.0 branch     (不受影响)

 

    1. OpenSSL 0.9.8 branch     (不受影响)

 

3. 处置建议如下

3.1 针对网络管理员,可以做的事情包括

  1. 鉴于本漏洞的严重程度,如果确定本漏洞存在,对一般性的网络服务者,暂停服务进行处置是一种较好的应对策略
  2. 如果确定本漏洞存在,又必须保证服务不能停止,可以在漏洞修补过程中,暂时停止https服务,改用http服务,但这会带来相关认证信息明文传输的风险,具体利害需要做出谨慎的判断权衡。

具体修补方式为:

  1. OpenSSL版本升级到最新的1.0.1g
  2. 重新生成你的私钥
  3. 请求和替换SSL的证书
  4. 也可以使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块

最新版本升级地址为:https://www.openssl.org/source/. (OpenSSL官方)

3.2 针对普通网络用户,我们郑重提出的建议包括

  1. 鉴于本漏洞的严重程度,在不能确定你所网站和服务修补了本漏洞的情况下,在未来2~3天内(2014年4月9日日起)不登陆,不操作是一种较好的应对策略(这些操作包括网购、网银支付等)。
  2. 如果你必须进行操作,可以关注这些网站和服务的修改情况。
  3. 一些手机客户端的登陆,是对SSL的封装,因此手机登录也不安全。
  4. 其他安全企业团队会公布目前仍有问题的站点、或没有问题的站点情况,请予以关注。

4. 分析与验证

目前该漏洞的利用和验证脚本已经可以被广泛获取,地址包括。

  1. http://fi****o.io/Heartbleed/                  (web测试页面)
  2. http://s3. ****guin.org/ssltest.py          (python脚本)
  3. http:// **.* u u.com/s/1nt3BnVB     (python脚本)

尽管从安全团队的角度,我们不适宜明文传播这些地址,但我们必须提醒用户的是,几乎所有的攻击者都已经拥有了相关资源,在过去24小时内,这一漏洞已经遭到了极为广泛的探测和尝试。相信大多数有漏洞的站点均遭到了不止一次的攻击。
鉴于该漏洞的严重程度和攻击爆发事件,我们不得不打破搭建环境,测试验证的管理,
在第一时间,选择相对“轻量级”的网站做出直接验证,以分析其实际后果敏感信息。通过网络中已有的测试方法,我们寻找到几个存在问题的网站进行分析,为了避免行为失当,我们没有选择与金融、交易相关的站点。
存在问题的网站地址:

  1. Ap***.*****.gov.cn  (测试时间为2014-04-09 01:00)
  2. my-****.in                  (测试时间为2014-04-09 01:10)
  3. www.shu****.cn       (测试时间为2014-04-09 01:15)
  4. git****.com                (测试时间为2014-04-09 01:20)
  5. feng*****.com          (测试时间为2014-04-09 01:30)

获取回来的相关信息情况如下:

OPENSSL漏洞简述与网络侧检测建议-1
图 1 测试网站1

通过漏洞利用工具发送数据后,返回的数据中可以看到有内网IP地址、路径等信息。

 

OPENSSL漏洞简述与网络侧检测建议-2
图2 测试网站2

通过漏洞利用工具发送数据后,返回的数据中可以看到有APP信息、cookie信息和用户名信息等。

 

OPENSSL漏洞简述与网络侧检测建议-2
图 3  测试网站3

通过漏洞利用工具发送数据后,返回的数据中可以看到有手机号码等。

OPENSSL漏洞简述与网络侧检测建议-4
图 4  测试网站4

通过漏洞利用工具发送数据后,返回的数据中可以看到有信箱和密码等信息。
通过上面的几个网站的分析测试,发现该漏洞确实可以获取到带有敏感信息的内存内容。例如:用户的cookie信息、内网IP地址、用户名、密码、手机号、信箱等。如攻击者利用此漏洞对网络交易、证券、银行等网络进行攻击,那么将会获取到用户名、密码、银行账号等敏感信息。再次提醒网站管理员和使用SSL协议连接网站的用户请尽快按照我们的处置建议进行操作。

 

5. 网络检测相关方法

通用Snort规则检测

由于众所周知的SSL协议是加密的,我们目前没有找到提取可匹配规则的方法,我们尝试编写了一条基于返回数据大小的检测规则,其有效性我们会继续验证,如果有问题欢迎反馈。
alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:”openssl Heartbleed attack”;flow:to_server,established; content:”|18 03|”; depth: 3; byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big; threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160; classtype:bad-unknown; sid:20140160; rev:2;)

Snort规则说明:此次漏洞主要针对的SSL协议。是针对心跳数据包前4个字节中包含x18x03,而在数据包第5个字节和第6个字节的数值按大尾模式转化成数值在200和16385之间,在后面则是一些报警和过滤功能,日志记录里,每10分钟记录一次。

行为检测

从公共网络管理者的角度,可以从同一IP短时间探测多个443端口的网络连接角度进行检测。这样可以发现攻击者或肉鸡的大面积扫描行为。
另外由于攻击者可能定期性的进行数据持续获取,也可以从连接持续规律的时间性和首发数据数量的对比的角度进行检测。

 

201449日发布,第2次更新 )
安天实验室安全研究与应急处理中心(Antiy CERT)

分类
网络新闻

详解OpenSSL重大漏洞:谁会受影响?如何解决?

近日有研究人员公布,广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞,人们的账号密码、信用卡号码等个人信息可能会失窃。各大主流网站都在加紧解决这一问题。究竟是什么回事呢?普通网民是否会受到影响呢?国外媒体近日就这类疑问一一进行了详解。

何为SSL?

SSL是一流行的加密技术,可保护网络用户在互联网上传输的隐私信息。例如,访问诸如Gmail.com的安全网站时,你会看到URL左侧有一绿色的“锁头”图标,它意指你与该网站的通讯受到加密保护。以下是它在谷歌Chrome浏览器上的模样:

详解OpenSSL重大漏洞:谁会受影响?如何解决?-1

该锁头表明第三方会无法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话,他将只能够看到随即字符串,而无法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。

SSL是1994年最先由网景(Netscape)推出,自1990年代以来一直面向各款主流浏览器。近年来,主流的在线服务也都趋向使用该加密技术。目前,谷歌、雅虎和Facebook对于自家的网站和在线服务全都默认使用SSL加密技术。

何为Heartbleed漏洞?

大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一,研究人员公布该软件存在一个会致使用户通讯内容泄露的严重漏洞。OpenSSL存在这种漏洞已有约两年时间。

具体来说,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。

漏洞影响很大吗?

是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾(Ed Felten)指出,使用这种技术的攻击者会“通过模式匹配整理那些信息,试图找到密钥、密码以及诸如信用卡号码的个人信息”。

账号密码、信用卡号码失窃的严重性无需赘述,而密钥失窃甚至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者获得服务器的私有密钥,那他就能读取任何发送到服务器的信息。他甚至能够利用密钥冒充服务器,诱使用户泄露他们的账号密码和其它的敏感信息。

谁发现了漏洞?

是Codenomicon和谷歌安全部门(Google Security)的研究人员独立发现的。为了最大限度地降低公布漏洞会带来的损害,研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。

哪些人能够利用Heartbleed漏洞?

“利用该漏洞对于了解它的人来说并不是很难。”费尔腾透露。利用该漏洞的软件遍布于网络上,虽然该软件没iPad应用那么好用,但任何有编程基础的人都会知道怎么使用。

当然,该漏洞也许对于拥有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局(NSA)与美国电信服务提供商有秘密协定,它能够接入互联网干线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA获得破译私密通讯所需的私有密钥。

要是NSA已经在公众知晓之前发现Heartbleed漏洞的存在,也不会令人惊讶。鉴于OpenSSL是世界上最流行的加密软件,NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。

有多少网站受到影响?

目前还没有准确的数据,不过发现漏洞的研究人员指出,最流行的两家网络服务器Apache 和nginx均使用OpenSSL。二者加起来,共计覆盖约三分之二的网站。SSL还被其它的网络软件所使用,如桌面邮箱客户端和聊天软件。

研究人员是在几天前告知OpenSSL团队和其他的关键利益相关者漏洞情况的。因此,OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞,网站只需要确保它们使用的是OpenSSL最新版本。

雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修复,我们正在针对公司旗下其它的网站实施修复。”

谷歌称,“我们对SSL漏洞进行了评估,并已修复谷歌的各款主要服务。”Facebook也表示,它在漏洞公布时已经解决好该问题。

微软发言人则写道,“我们在跟进OpenSSL库问题的报告。要是确定它有对我们的设备与服务造成影响,我们会采取必要的措施来保护我们的用户。”

用户能怎么解决问题?

很遗憾,用户要是访问到采用含漏洞OpenSSL软件的网站,他们并不能保护自己。有问题的网站升级OpenSSL软件之后,用户才能够得到保护。

不过,受影响的网站修复好OpenSSL软件问题后,用户就可以通过更改自己的密码来保护自己。攻击者之前可能已经截取了用户的密码,费尔腾称用户可能无法判断他们的密码是否失窃。

译者:乐邦

来自:百度新闻与网易科技合作稿件

分类
安全播报

针对OpenSSL Heartbleed 漏洞修复紧急通知

尊敬的天威诚信 SSL 证书用户:

您好

 

OpenSSL官方网站4月7日发布公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露私密通信,建议您第一时间尽快修补。

天威诚信提醒您,我们提供 Symantec 全品牌、全线 SSL证书产品本身是非常安全的。我们发布的紧急安全通知并不是针对SSL证书产品的漏洞通知。

此次发布的 Heartbleed 漏洞是基于 OpenSSL 特定版本的一个高危漏洞。如果您有使用我们的 SSL证书产品,部署任何基于漏洞版本的 OpenSSL的 https 站点,都存在被攻击的可能性。

如果您的 Web Server 程序不是基于 OpenSSL 加密程序库来实现的 https 服务,则您完全可忽略我们的这封邮件提醒。安心享受天威诚信 Symantec SSL证书产品给您带来的高强度安全通讯环境。

 

在此之前,我们仍然需要郑重提醒您尽快确认您公司服务器上是否安装了OpenSSL,且是否正在使用 OpenSSL的加密程序库来实现 https 的加密传输应用。一旦确认服务器上有上述应用,请第一时间确认 OpenSSL 版本,了解自己的服务器是否受到该漏洞影响。排查服务器上可能存在的 OpenSSL Heartbleed 漏洞风险。

 

要查询您网站服务器上的 OpenSSL 版本信息,命令行进入 openssl 安装目录下的 bin 目录,运行如下命令:

示例:

openssl version

OpenSSL 0.9.8d 28 Sep 2006 ## 返回 OpenSSL 版本信息

目前受影响的 OpenSSl 版本信息:

OpenSSL 1.0.1 到 1.0.1f (包含) 受此漏洞影响

OpenSSL 1.0.2 Beta1 受此漏洞影响

不受此漏洞影响的 OpenSSL版本信息:

OpenSSL 1.0.1g 已修复该漏洞

OpenSSL 1.0.0 分支版本不受此漏洞影响

OpenSSL 0.9.8 分支版本不受此漏洞影响

OpenSSL 1.0.2 Beta2 不受此漏洞影响。 1.0.2目前只有 beta版,不推荐使用该版本。

推荐您在发现受此漏洞影响之后,第一时间下载不受该漏洞影响的 OpenSSL 版本安装。在完成OpenSSL 升级或降级后重启服务,然后可以通过一些漏洞检测网站检查是否已完成漏洞的修复工作。

针对 Heartbleed 的漏洞检测站点:http://filippo.io/Heartbleed/

具体应对措施:

如果您使用的是 IIS、Tomcat、Weblogic、Jboss、Sun One Web Server 等 Web Server,请忽略该漏洞提醒通知。非基于 OpenSSL加密程序库实现的 https 服务不受此漏洞影响。

 

如果您使用的是 Windows 版本的 Apache:请命令行进入 Apache 安装路径下的 bin 目录,运行 openssl version ,确认您所使用的 Apache with ssl Win32 集成的 openssl 库版本信息。

如果您使用的是 Windows 版本的 Nginx:请命令行下进入 Nginx.exe 文件所在目录,运行:

nginx -V

–with-openssl=objs.msvc8/lib/openssl-0.9.8t ## 示例中,返回结果信息筛选关键数据,确认 OpenSSL 版本信息为 openssl-0.9.8t

如果您使用的 Windows 版本 Apache 或 OpenSSL 受到此漏洞影响,请尽快登陆 Apache、Nginx 官方网站,更新您的 Web Server 版本到未受影响版本。

如果您使用 Linux/Unix 操作系统:命令行进入 openssl 安装目录下的 bin 目录,运行 openssl version,确认您服务器中安装的 openssl 版本信息。如确认需要版本更新,在更新 OpenSSL 版本后,还需要重新编译 Web Server(Apache、Nginx、Squid等) 程序中的 SSL 模块,在更新 SSL模块之后重启服务。

如果您使用的是 IBM Http Server:在IBM Http Server上使用SSL证书,需要使用mod_ibm_ssl的SSL模块,该模块是有IBM GlobalSecurity Toolkit(GSKit)提供的。并且IHS不允许使用 OpenSSL 的mod_ssl 模块。因此IBM Http Server不受此漏洞影响。

部分Linux/Unix操作系统发行包中,包含了含有漏洞的OpenSSL版本。

相关版本信息:

 

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e-15

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)

 

 

部分未受此漏洞影响的操作系统发行包:

 

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14

SUSE Linux Enterprise Server

FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013

FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013

FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

 

其他基于 OpenSSL 的SSL Lib开发的 Server 程序,也应尽快自查 OpenSSL 版本,并尽快更新代码,避免遭受漏洞攻击。

如果您在漏洞修复过程中遇到问题,请随时联系我们技术支持人员为您提供技术指导。

谢谢。