OpenSSL Heartbleed事件無影響!全景教您如何自我檢測。
2014-04-25 *人氣 333*
全景軟體所提供的各式安控元件、RAWeb/RA/VA/SS等安控系統,均未使用受影響之OpenSSL版本1.0.1~1.0.1f / 1.0.2-beta ~ 1.0.2-beta1,請 您放心。
有關OpenSSL Heartbleed事件,係由OpenSSL於2014/04/09所公告的一個重大安全漏洞(CVE-2014-0160)。
這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。
記憶體中最嚴重可能包含 SSL private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
OpenSSL公告網址為:https://www.openssl.org/news/secadv_20140407.txt
此漏洞影響之版本編號為OpenSSL 1.0.1~1.0.1f / 1.0.2-beta ~1.0.2-beta1其餘版本不受影響。
(1) 在Linux作業系統命令列中下達以下指令
#openssl version
看看回傳的OpenSSL版本編號是否為受影響的版本。
(2) 使用線上偵測工具http://filippo.io/Heartbleed/,輸入自家網站網址,即可偵測。(受偵測之網站需提供SSL服務)。
如果您電腦中的OpenSSL為受影響之版本的話,請儘速提升到1.0.1g / 1.0.2-beta2以上之版本。
安全、安心、信賴的全景安控系統。如果仍有疑慮,請洽 全景為您服務。