tid=216& 本帖最後由 IT_man 於 2015-1-12 10:51 編輯 X. O5 y0 p9 w. `- f
2 k6 \4 X, v- C/ D1 z& }$ M- f
OpenSSL重大漏洞Heartbleed 全球網路加密傳輸安全拉警報
) {1 X( `, f4 J& b
8 d- t; }; C* n
9 k& Z- s' v+ u+ ^+ C( {OpenSSL爆出HeartBleed重大漏洞,為全球網路帶來重大威脅,被視為是網路有史以來最嚴重的漏洞。它的影響層面到底有多大目前還難以估計,但目前可知的是:受影響的絕不只有網路上的伺服器,這個漏洞可能存在於各種的網路設備與終端裝置,包括PC,甚至連Android手機都難以幸免。 為確保使用者資料安全,計資中心在此提醒網路管理者依下面幾點確實做好防範措施!! $ V) T6 b9 c6 _2 S0 d# }' S5 I' Q5 r
1.甚麼是OpenSSL Bleeding 7 S+ r) a7 D; d! n) ]# s
* s* R; W) G- k- OpenSSL Bleeding是SSL協定某些版本(影響版本包括1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1)的漏洞。0 Q& H+ B" H- d$ H: n; j8 U
- 攻擊者可以藉由此漏洞從伺服器記憶體中讀取 64 KB的資料,藉由擷取記憶體中可能存在的機敏資料。+ K4 q& f9 b& m+ A# h
: f* k9 o7 ? E
2.OpenSSL Bleeding可能造成的危害, W1 ?' _' m {* E! d
- 攻擊者可藉由竊取來的資料,獲得使用者的帳號密碼、及原本由加密傳輸所保護的資料。
- 假冒使用者身份,進行各種服務。例如存取email內容、金融交易資料、信用卡資料等。- P* F' V) V$ T( @6 I
' G' v6 Y( a$ h; r 3.對網站管理者的建議 - 確認OpenSSL 版本是否受影響,檢查方法(二擇一) A.於 Apache 安裝目錄下,尋找檔名 “OPENSSL-README.txt”,其內文為 OpenSSL 版本資訊。* u2 e j9 S* I* q
B.使用Linux_Like作業系統者可使用控制命令列 (Shell Prompt),於 Apache 或 OpenSSL 安裝目錄下之bin目錄,執行指令: openssl version 即可查詢現有 OpenSSL 之版本資訊。 - 若OpenSSL版本名列受影響清單,進行版本升級: A.利用系統升級指令(ex. apt-get 或 yum)進行OpenSSL版本升級。: }* y- ]# E% Q2 d
或,, Z2 M7 B/ @( {9 h( |$ H, L% k
B.OpenSSL官方網站下載 OpenSSL 1.0.1g以上版本(tarball)手動升級。 - 自我檢測網站是否已完成修復$ ^; @" b# V# J. X; p
您可使用以下網站服務,進行漏洞檢測作業。 A.Heartbleed test http://filippo.io/Heartbleed/ & t1 t+ s3 M# V' l7 \; l
B.LastPass Heartbleed Checker http://lastpass.com/heartbleed/
. _2 f* o) ~* e& b2 ~8 {' E, l
1 @' }4 | c8 C+ M1 Z! g( o
4.對網站瀏覽者的建議- y3 k$ d+ b% ~; j
一般使用者是無法解決heartbeat漏洞問題的,因為這並不是使用者的電腦或裝置問題,而是網站或網路服務的問題,但是為了避免造成你的資料外洩,你 可以採取以下自我保護措施:
! @) \7 {" _ Y0 M- 保持警覺,了解瀏覽有heartbeat漏洞問題的網站,自己的資料可能會外洩。
- 若服務供應商要求你變更密碼,請依照建議執行。
- 觀察自己的帳號是否有可疑的活動,主動變更像是電子郵件或金融服務等重要服務的密碼。
- 使用最新的防毒軟體。
- 不要存取不明網站,尤其網址是https://開頭的網站。9 |$ k* i1 |1 k8 t% X7 Q) d
0 w3 T9 V. r- b9 C& r J# n
5.參考網站
0 D1 ^; y7 w" a) i/ }
3 i. @! @# Y# z V4 q+ }" g
| 
發表於 2015-1-12 10:46:10
