文/鄭先偉

及時(shí)修復(fù)“心臟出血”漏洞

文/鄭先偉

4月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)嚴(yán)重的安全事件。需要關(guān)注的安全事件有兩個(gè)，一個(gè)是微軟在4月停止了對Windows XP系統(tǒng)的安全支持，雖然國內(nèi)有很多廠商宣稱會繼續(xù)為XP系統(tǒng)提供安全技術(shù)支持，但是XP 系統(tǒng)畢竟是十幾年前的產(chǎn)物，它在安全性上已經(jīng)無法滿足現(xiàn)今網(wǎng)絡(luò)環(huán)境的需求。所以我們還是建議有條件的用戶盡快使用更新版本的操作系統(tǒng)替代XP系統(tǒng)。另一件需要關(guān)注的事是OpenSSL的心臟流血漏洞，由于OpenSSL使用的廣泛性使得這個(gè)漏洞影響各類加密服務(wù)。我們對教育網(wǎng)內(nèi)受此漏洞影響的網(wǎng)站和系統(tǒng)進(jìn)行統(tǒng)計(jì)發(fā)現(xiàn),教育網(wǎng)內(nèi)受影響較大的主要有學(xué)校使用SSL VPN服務(wù)器、郵件服務(wù)器以及一些自主開發(fā)的認(rèn)證登錄系統(tǒng)等。

由于4月起我們與烏云網(wǎng)站合作，因此處理的網(wǎng)站漏洞及入侵事件的數(shù)量有所增多，涉及的網(wǎng)站均為各高校的二級網(wǎng)站，也有部分為主頁。

病毒與木馬

2014年3～4月安全投訴事件統(tǒng)計(jì)

近期需要關(guān)注的病毒和木馬是那些針對家用路由器攻擊的代碼。由于大部分現(xiàn)在所使用的家用路由器和家用無線設(shè)備都存在配置或是系統(tǒng)軟件上的安全漏洞，導(dǎo)致這些設(shè)備成為木馬攻擊的對象。這類攻擊一般有兩種途徑，一種是將攻擊木馬放置在網(wǎng)頁中，然后引誘用戶訪問該網(wǎng)頁，通過瀏覽器運(yùn)行腳本來攻擊路由器。另一種方式則是直接接入該無線設(shè)備的內(nèi)網(wǎng)，然后通過管理地址進(jìn)行攻擊。這類木馬一旦成功攻擊路由器后就會篡改路由器上的DNS設(shè)置，從而達(dá)到劫持用戶訪問的目的。

近期新增嚴(yán)重漏洞評述

微軟 4月的例行安全公告數(shù)量較少，只有4個(gè)（MS14-017至MS14-020)個(gè),其中2個(gè)為嚴(yán)重等級，2個(gè)為重要等級，這些公告共修補(bǔ)了Windows系統(tǒng)、Office軟件、IE瀏覽器、SharePoint Server和Office Web Apps中的11個(gè)安全漏洞。相關(guān)的漏洞信息請參見： http://technet.microsoft.com/ zh-cn/security/bulletin/ms14-Apr。

Adobe公司4月的安全公告有2個(gè)(APSB14-09和APSB14-12)，其中APSB14-09修補(bǔ)了Flash player軟件中的4個(gè)安全漏洞，APSB14-12修補(bǔ)了Adobe Reader移動版里的1個(gè)安全漏洞。相關(guān)公告詳細(xì)信息請參見：https://www.adobe.com/support/security。

Oracle公司今年第二季度的安全公告共修復(fù)了其公司多款產(chǎn)品中存在的104個(gè)安全漏洞，其中高危漏洞24個(gè)，可直接遠(yuǎn)程利用的97個(gè)。漏洞的詳細(xì)信息請參見：http://www.oracle.com/technetwork/ topics/security/cpuapr2014-1972952.html。

除上述例行安全公告外，以下產(chǎn)品的漏洞需要特別關(guān)注：

OpenSSL是TLS/SSL協(xié)議最流行的實(shí)現(xiàn)，在許多商業(yè)化的系統(tǒng)中廣為采用。心跳（HeartBeat）是TLS/SSL協(xié)議中的一個(gè)擴(kuò)展選項(xiàng)（RFC6520），它允許SSL連接雙方中的一端向另一端發(fā)送一條消息以確認(rèn)對方是否仍然在線，驗(yàn)證的過程如下：

1.請求方會發(fā)送一個(gè)心跳查詢包，此數(shù)據(jù)包含以下信息：

（1）包的類型type1（查詢）

（2）驗(yàn)證數(shù)據(jù)的大小length1（最大可設(shè)為64k）

（3）驗(yàn)證數(shù)據(jù)data1（最大64k）

2.應(yīng)答方則會根據(jù)查詢包的信息，生成心跳應(yīng)答包，包含以下信息：

（1）包的類型tpye2（應(yīng)答包）

（2）數(shù)據(jù)段的大小length2（根據(jù)查詢包的length1生成）

（3）驗(yàn)證數(shù)據(jù)data2（包含完整的data1內(nèi)容）

OpenSSL的某些版本（1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f）在實(shí)現(xiàn)Heartbeat模塊功能時(shí)存在漏洞，該模塊沒有有效的驗(yàn)證查詢包中的data1的實(shí)際大小，而直接按照查詢包中l(wèi)ength1的大小生成length2并按此大小去申請內(nèi)存空間。當(dāng)攻擊者將length1設(shè)置為64k，并且將data1設(shè)置為1個(gè)字節(jié)時(shí)，heartbeat模塊會按照lenght1的大小生成length2并申請內(nèi)存空間并去內(nèi)存中讀取數(shù)據(jù)，但是由于沒有足夠多的data1數(shù)據(jù)，該模塊就會直接讀取內(nèi)存中data1后面的其他數(shù)據(jù)去填充data2生成應(yīng)答包返回給攻擊者。這個(gè)漏洞導(dǎo)致攻擊者可以直接獲取服務(wù)器內(nèi)存中的數(shù)據(jù)，理論上攻擊者每次最多能獲取64K的內(nèi)存內(nèi)容，這些內(nèi)存信息中可能包括明文的用戶登錄信息（用戶名/口令）、電子郵件登錄信息和郵件內(nèi)容、網(wǎng)站cookie、以及其它一些原本需要加密的明文信息。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）