OpenSSL TLS心跳扩展协议的实现上存在边界错误漏洞,远程无需验证的攻击者可以利用此漏洞导致泄漏64K的内存到连接的客户端或服务器,造成敏感信息的泄露。仅OpenSSL的1.0.1及1.0.2-beta版本受到影响,包括:1.0.1f及1.0.2-beta1版本。 TLS心跳由一个特殊构造请求包组成,其中包括有效载荷(payload),通信的另一方将读取这个包并发送一个响应,其中包含同样的载荷。在处理心跳请求的代码中,载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值,从而导致越界读,造成了敏感信息泄漏。泄漏的信息内容可能会包括加密的私钥和其他敏感信息例如用户名、口令等。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作