賽門鐵克企業端點安全防護解決方案 賽門鐵克端點保護管理伺服器(SEPM)漏洞
     
線上詢價系統
 
產品試用申請
 
SPSEE-企業多層次防護
 
SEP-企業端點防護
 
SMG-郵件安全閘道
 
SWG-網頁安全閘道
 
SMS-郵件主機防護-Exchange
 
ATP-進階威脅防護
 
DSC SA-重要主機防護系統
 
PGP-企業加密解決方案
 
IM 即時訊息安全與保密
 
熱門商品
  symantec Endpoint Protection 賽門鐵克端點防護方案
 
  Symantec Protection Suite enterprise edition 賽門鐵克保安套件企業版
 
  資料備份與回復解決方案
 

Symantec Endpoint Protection 產品主頁

 
問題:

OpenSSL 公告了一個極度嚴重的漏洞(CVE-2014-0160),被稱為「Heartbleed」,而他確實也如同心臟噴出血般嚴重。這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。

詳細的分析可以參閱 existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug

Symantec 建議:

Symantec Security Response 建議如果有使用 OpenSSL , 請更新到修正版本 1.0.1g, 如果暫時無法做此修正, 程式開發人員可以 recompile OpenSSL with the handshake removed from the code by compile time option -DOPENSSL_NO_HEARTBEATS.

受影響版本範圍:
  • 軟體名稱:OpenSSL
  • 影響範圍:1.0.1 至 1.0.1f / 1.0.2-beta
  • 修復版本:1.0.1g / 1.0.2-beta1
  • 影響系統版本
    • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    • CentOS 6.5, OpenSSL 1.0.1e-15
    • Fedora 18, OpenSSL 1.0.1e-4
    • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
    • NetBSD 5.0.2 (OpenSSL 1.0.1e)
    • OpenSUSE 12.2 (OpenSSL 1.0.1c)
如何自我檢測?
要如何測試自己的網站有沒有這樣的漏洞呢?可以利用以下的網站或工具直接查詢。

Heartbleed test http://filippo.io/Heartbleed/
直接輸入 Domain 即可查詢,例如「e-banking.hengsang.com」。

OpenSSL 的公告如下:https://www.openssl.org/news/secadv_20140407.txt

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.