bilibili某站点存在OpenSSL heart bleeding漏洞 | wooyun-2015-0113929

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0113929

漏洞标题：

bilibili某站点存在OpenSSL heart bleeding漏洞

漏洞详情

披露状态：

2015-05-13：细节已通知厂商并且等待厂商处理中
2015-05-15：厂商已经确认，细节仅向厂商公开
2015-05-25：细节向核心白帽子及相关领域专家公开
2015-05-31：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

bilibili某站点存在OpenSSL heart bleeding漏洞

详细说明：

漏洞站点：

https://stat.bilibili.tv/

可以获取少量带sign的URL，可以抓到非明文密码。

漏洞证明：

示例抓到的几个URL，带签名sign和pwd：

http://www.bilibili.com/m/send_error_report?domain={DOMAIN}&server={SERVER}&ref={REF}&uri={ENC_URI}&ERRNO=404&USERIP={USERIP}
http://www.bilibili.com/mobile/index.html&keeptime=604800&userid=13737777934&pwd=CkGGvR6rF7V8np9L5qW5A/ce9PqjaczNhg8zSHe55hty/YM0WnJluAIekwS/8dFI070lbnmuECVozFiynIYwcQ==&vdcode=1y5hk#
https://account.bilibili.com/login?api=http%3A%2F%2Fpay.wan.biligame.com%2F&appkey=271a266cffdd6568&sign=b7be6dd107995de5f8d5ae00e61d6b51&keeptime=604800&userid=1006920811@qq.com&pwd=cQ0SJ4yE52irKCdz+M2eX1FOTyNR2Xh7Zb3Z2fwLpFoC/IxBAbksLCAMhbUvVNWMfPOVj9hh6finZckiqPZHqA==&vdcode=QKMJY
https://account.bilibili.com/login?api=http%3A%2F%2Fbbs.biligame.com%2Fbilibili_connect.php%3Fmod%3Dauth%26op%3Dcallback&appkey=8907c61e930c789c&sign=08935705a03bd85cf311a87de74a7899&keeptime=604800&userid=913491169@qq.com&pwd=pqTqBiGnoBQfJixxBLVPLxlXCNCC7Kk7kBN7u9QvD/13vsA6zv6MfNC73KxWaV4VtXo7wZmjlvCPTf+miqrHiA==&vdcode=2J4TXo=

修复方案：

patch

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2015-05-15 15:50

厂商回复：

已修复谢谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞