OpenSSL bis 1.0.2 TLS/DTLS Heartbeat ssl/t1_lib.c dtls1_process_heartbeat/dtls1_process_heartbeat Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

Es wurde eine sehr kritische Schwachstelle in OpenSSL bis 1.0.2 (Network Encryption Software) gefunden. Betroffen hiervon ist die Funktion dtls1_process_heartbeat/dtls1_process_heartbeat der Bibliothek ssl/t1_lib.c der Komponente TLS/DTLS Heartbeat Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

The (1) TLS and (2) DTLS implementations in OpenSSL 1.0.1 before 1.0.1g do not properly handle Heartbeat Extension packets, which allows remote attackers to obtain sensitive information from process memory via crafted packets that trigger a buffer over-read, as demonstrated by reading private keys, related to d1_both.c and t1_lib.c, aka the Heartbleed bug.
In den Medien wurde die Schwachstelle durch den Namen "Heartbleed" bekannt.

Am 01.01.2012 wurde der Fehler eingeführt. Die Schwachstelle wurde am 07.04.2014 durch Neel Mehta von Google als secadv_20140407.txt in Form eines bestätigten Security Advisories (Website) publiziert. Das Advisory findet sich auf openssl.org. Die Herausgabe passierte in Zusammenarbeit mit dem Projektteam. Die Identifikation der Schwachstelle wird seit dem 03.12.2013 mit CVE-2014-0160 vorgenommen. Die Schwachstelle ist sehr beliebt, was mitunter auf ihre geringe Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 16.06.2021). Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr. Das Advisory weist darauf hin:

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Ein öffentlicher Exploit wurde durch Jared Stafford in Python programmiert und 1 Tage nach dem Advisory veröffentlicht. Er wird als hoch funktional gehandelt. Der Exploit wird unter exploit-db.com zur Verfügung gestellt. Vor einer Veröffentlichung handelte es sich 827 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 08.04.2014 ein Plugin mit der ID 73389 (FreeBSD : OpenSSL -- Remote Information Disclosure (5631ae98-be9e-11e3-b5e3-c80aa9043978)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext remote ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350410 (Amazon Linux Security Advisory for openssl: ALAS-2014-320) zur Prüfung der Schwachstelle an. Es wurde ebenfalls ein Metasploit-Modul names openssl_heartbleed.rb für diese Schwachstelle herausgegeben. Das Proof-of-Concept-Tool von Luis Grangeia zeigt, dass der Heartbleed-Angriff auch im WLAN funktioniert, wenn zur Authentifizierung EAP genutzt wird.

Ein Aktualisieren auf die Version 1.0.1g vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von git.openssl.org bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben nachweislich unmittelbar gehandelt. Das Advisory stellt fest:

Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
Eine Identifikation von Angriffsversuchen ist manuell mittels 'tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type"' möglich. Angriffe können durch Snort ID 30510 erkannt werden. Als Pattern zur Identifikation wird |18 03 00| verwendet. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 13817 erkannt werden.

Mitunter wird der Fehler auch in den Datenbanken von X-Force (92322), SecurityTracker (ID 1030026), Vulnerability Center (SBV-54773), Tenable (73389) und Exploit-DB (32745) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt. Weitere Informationen werden unter kb.cert.org bereitgestellt. Von weiterem Interesse können die folgenden Einträge sein: 13072.

Betroffen

  • Alcatel-Lucent
  • Debian GNU/Linux
  • Fedora Linux
  • FreeBSD
  • Gentoo Linux
  • Mandriva Linux
  • Red Hat Linux
  • Slackware Linux
  • SUSE Linux
  • Ubuntu Linux

Nicht betroffen

  • OpenSSL bis 0.9.8x

Produktinfo

Typ

Name

CPE 2.3info

CPE 2.2info

Screenshot

CVSSv3info

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.2

VulDB Base Score: 7.5
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.5
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: Jared Stafford
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 73389
Nessus Name: FreeBSD : OpenSSL -- Remote Information Disclosure (5631ae98-be9e-11e3-b5e3-c80aa9043978)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 881918
OpenVAS Name: CentOS Update for openssl CESA-2014:0376 centos6
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

MetaSploit ID: openssl_heartbleed.rb
MetaSploit Name: OpenSSL Heartbeat (Heartbleed) Information Leak
MetaSploit Datei: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Upgrade: OpenSSL 1.0.1g
Patch: git.openssl.org

Snort ID: 30510
Snort Message: SERVER-OTHER OpenSSL SSLv3 heartbeat read overrun attempt
Snort Klasse: 🔍
Snort Pattern: 🔍

Suricata ID: 2018372
Suricata Klasse: 🔍
Suricata Message: 🔍

TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

01.01.2012 🔍
03.12.2013 +702 Tage 🔍
07.04.2014 +125 Tage 🔍
07.04.2014 +0 Tage 🔍
07.04.2014 +0 Tage 🔍
07.04.2014 +0 Tage 🔍
07.04.2014 +0 Tage 🔍
08.04.2014 +1 Tage 🔍
08.04.2014 +0 Tage 🔍
08.04.2014 +0 Tage 🔍
08.04.2014 +0 Tage 🔍
08.04.2014 +0 Tage 🔍
08.04.2014 +0 Tage 🔍
24.04.2014 +16 Tage 🔍
03.12.2015 +588 Tage 🔍
16.06.2021 +2022 Tage 🔍

Quelleninfo

Produkt: openssl.org

Advisory: secadv_20140407.txt
Person: Neel Mehta
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2014-0160 (🔍)
OVAL: 🔍
IAVM: 🔍

X-Force: 92322 - OpenSSL heartbeat information disclosure, High Risk
SecurityTracker: 1030026
Vulnerability Center: 54773 - Symantec Risk Automation Suite 4.0.8 Remote Information Disclosure Vulnerability due to Heartbleed Bug, Critical
SecurityFocus: 66690 - OpenSSL TLS 'heartbeat' Extension Multiple Information Disclosure Vulnerabilities
Secunia: 57347 - OpenSSL TLS Heartbeat Information Disclosure Vulnerability, Moderately Critical
OSVDB: 105465

Heise: 2165517
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 08.04.2014 14:59
Aktualisierung: 16.06.2021 14:57
Anpassungen: (1) source_nessus_risk
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!