OpenSSL 缓冲区错误漏洞 CVE-2014-0160 CNNVD-201404-073 CNVD-2014-02175
5.0
AV
AC
AU
C
I
A
发布:
2014-04-07
修订:
2023-11-07
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞,该漏洞源于当处理Heartbeat Extension数据包时,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。以下版本的OpenSSL受到影响:1.0.1,1.0.1:beta1,1.0.1:beta2,1.0.1:beta3,1.0.1a,1.0.1b,1.0.1c,1.0.1d,1.0.1e,1.0.1f。目前OpenSSL官方已经发布补丁,用户可以通过升级修复漏洞,或者使用-DOPENSSL_NO_HEARTBEATS参数重新编译受影响版本的OpenSSL以禁用Heartbeat模块。
漏洞利用/PoC
当前有105条漏洞利用/PoC
受影响的平台与产品
当前有51条受影响产品信息
