本帖最後由 IT_man 於 2015-1-12 10:51 編輯 # V# U! |9 ~' S& e$ s5 @7 k& H) a
6 c Y7 _0 f4 _: {7 v3 y
OpenSSL重大漏洞Heartbleed 全球網路加密傳輸安全拉警報6 R2 D! V1 h' z. o2 X+ U
# u. Z1 C# P+ @# D! l6 w
4 W, V- Z: B! u. M" J3 \9 }( C# WOpenSSL爆出HeartBleed重大漏洞,為全球網路帶來重大威脅,被視為是網路有史以來最嚴重的漏洞。它的影響層面到底有多大目前還難以估計,但目前可知的是:受影響的絕不只有網路上的伺服器,這個漏洞可能存在於各種的網路設備與終端裝置,包括PC,甚至連Android手機都難以幸免。 為確保使用者資料安全,計資中心在此提醒網路管理者依下面幾點確實做好防範措施!!
8 _1 P2 k" F& y! X 1.甚麼是OpenSSL Bleeding
' }3 V4 \0 x) Z4 I U" c( D$ P( E- d0 b0 K4 }! y
- OpenSSL Bleeding是SSL協定某些版本(影響版本包括1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1)的漏洞。: @! y2 z* p2 k0 g+ u0 T, q9 C
- 攻擊者可以藉由此漏洞從伺服器記憶體中讀取 64 KB的資料,藉由擷取記憶體中可能存在的機敏資料。
4 U2 ^7 @" v3 w0 T9 e8 l
9 d, F k* z# l2 G
2.OpenSSL Bleeding可能造成的危害6 W& G5 N/ u3 S0 T' {+ J7 v) V
- 攻擊者可藉由竊取來的資料,獲得使用者的帳號密碼、及原本由加密傳輸所保護的資料。
- 假冒使用者身份,進行各種服務。例如存取email內容、金融交易資料、信用卡資料等。
" e4 j: @0 b. e
' P j, X& @" I1 u$ e- J [1 q 3.對網站管理者的建議 - 確認OpenSSL 版本是否受影響,檢查方法(二擇一) A.於 Apache 安裝目錄下,尋找檔名 “OPENSSL-README.txt”,其內文為 OpenSSL 版本資訊。
8 M2 C1 M! p3 dB.使用Linux_Like作業系統者可使用控制命令列 (Shell Prompt),於 Apache 或 OpenSSL 安裝目錄下之bin目錄,執行指令: openssl version 即可查詢現有 OpenSSL 之版本資訊。 - 若OpenSSL版本名列受影響清單,進行版本升級: A.利用系統升級指令(ex. apt-get 或 yum)進行OpenSSL版本升級。
; `1 w0 B$ n8 S& e) h 或,
1 k2 q0 y' o' I! b6 k9 |. A7 }" k B.OpenSSL官方網站下載 OpenSSL 1.0.1g以上版本(tarball)手動升級。 - 自我檢測網站是否已完成修復) M8 c! x1 a) B% ?& W* P& {
您可使用以下網站服務,進行漏洞檢測作業。 A.Heartbleed test http://filippo.io/Heartbleed/
% J; ?$ P2 n9 `) p B.LastPass Heartbleed Checker http://lastpass.com/heartbleed/3 |1 n m3 ^. `6 j7 P
$ W9 Y4 w7 i F; q! m/ ` 4.對網站瀏覽者的建議# t; c' g9 b3 X/ q& r
一般使用者是無法解決heartbeat漏洞問題的,因為這並不是使用者的電腦或裝置問題,而是網站或網路服務的問題,但是為了避免造成你的資料外洩,你 可以採取以下自我保護措施: " h0 m3 V ?5 V9 K
- 保持警覺,了解瀏覽有heartbeat漏洞問題的網站,自己的資料可能會外洩。
- 若服務供應商要求你變更密碼,請依照建議執行。
- 觀察自己的帳號是否有可疑的活動,主動變更像是電子郵件或金融服務等重要服務的密碼。
- 使用最新的防毒軟體。
- 不要存取不明網站,尤其網址是https://開頭的網站。7 I: [! U. r) v9 k, X; Y5 Q
/ |+ a% |7 L9 n0 \" z e o 5.參考網站 + x p& ]; V! v: p- F
1 D( x" \# A: u) w* U: e* f2 E0 O/ W& D0 u. Z$ \ [% U: u
|
發表於 2015-1-12 10:46:10
收藏
分享
讚
爛