SDLab

SDLab
SDLab.org::Adminな脳み

2014年4月8日火曜日

OpenSSL 1.0.1の脆弱性

新しいFullDisclosure MLに流れてたので。

CVE-2014-0160: 7th April 2014
A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64kB of memory to a connected client or server. This issue did not affect versions of OpenSSL prior to 1.0.1. Reported by Neel Mehta.
Fixed in OpenSSL 1.0.1g (Affected 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1)

TLS heartbeat extensionってのが追加されたのかぁ。
どこで追加されてたかというと、1.0.1からのようだ。
Changes between 1.0.0h and 1.0.1  [14 Mar 2012]
*) Add support for TLS/DTLS heartbeats.

なので、影響はこのheartbeat機能がある1.0.1限定。

細かい説明はココ

チェックツールはここ
Tool to check if TLS heartbeat extension is supported:
※安全か知らないけど

<2014/04/10 追記>

http://seclists.org/fulldisclosure/2014/Apr/113

iptables -t filter -A INPUT -p tcp --dport 443 \
-m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

こういうやり方もあるのね。

その2

hb-test.pyのXenServer向けがなぜがアップされてた
https://github.com/xenserver/devops/blob/master/tools/hb-test.py


<2014/10/16 追記>
Closeし忘れたので。
XenServerには影響ありません。
Citrix Security Advisory for OpenSSL Vulnerabilities (June 2014)
http://support.citrix.com/article/CTX140876
Citrix XenServer: 
When acting as an SSL server, the TLS libraries used by currently supported versions of Citrix XenServer are not vulnerable to these issues.






0 件のコメント:

コメントを投稿