捕夢網對於OpenSSL出現的安全漏洞聲明
【新聞稿2014-04-17】

OpenSSL是一個開放源碼網路傳輸加密函式庫,使用廣泛,而全球Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。然而,近期根據網路安全公司CodenomiconGoogle安全部門的研究發現,OpenSSL有重大的漏洞,影響的版本為OpenSSL 1.0.11.0.1f。但目前捕夢網並非使用此版本,而且使用中的OpenSSL版本並非出現安全漏洞,捕夢網內部工程部門也全面檢查各個版本的安全性,目前都沒有任何問題與異,請客戶放心。

目前捕夢網使用的版本如下所示:

Red Hat Enterprise Linux Server release 6.1 (OpenSSL 1.0.0-fips)

Red Hat Enterprise Linux Server release 5 (OpenSSL 0.9.8b)

CentOS release 5.8 (OpenSSL 0.9.8e-fips-rhel5)

 

如您仍有任何相關的問題,歡迎您來電捕夢網24H專線 (02)8226-9123

 

 

 

 

相關文章摘錄如下

OpenSSL重大漏洞Heartbleed 全球網路加密傳輸安全拉警報

 

OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上,受影響的版本遍及201112月的OpenSSL 1.0.11.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。

 

OpenSSL周二(4/8)發佈緊急安全修補公告,公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞。

 

研究人員指出,Heartbleed臭蟲已存在2年以上,受影響的版本遍及201112月的OpenSSL 1.0.11.0.1f。另也有許多內含OpenSSL的作業系統受到影響,包括Debian WheezyUbuntu 12.04.4 LTSCentOS 6.5Fedora 18OpenBSD 5.3 5.4 FreeBSD 10.0 以上及NetBSD 5.0.2OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。

 

OpenSSL是一個開放源碼網路傳輸加密函式庫,使用相當廣泛,連全球Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。這項漏洞是由安全公司CodenomiconGoogle安全部門的Neel Mehta發現。

 

由於這個漏洞存在OpenSSLTLS/DTLS 傳輸安全層heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外,可能從伺服器端外到客戶端,或者由客戶端外到伺服器端,因此研究人員將它命名為Heartbleed(心在淌血) 臭蟲(Heartbleed bug)。這個漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫的程式錯誤。

 

Codenomicon人員解釋,Heartbleed臭蟲可能讓網路上任何人讀取到由OpenSSL防護的系統記憶體,進而獲得辨識服務供應商或加密網路流量的密,或是使用者的帳號密碼及實際內容。攻擊者可藉此竊取服務或身份驗證內容,並且假冒服務或使用者身份。

 

研究人員實地測試發現,Heartbleed臭蟲可讓他們無需權限資料就可以取得自己的x.509加密金、用戶帳號、即時通訊、email及公司重要文件及通訊內容,而且完全不留任何痕跡。因此即使公司系統曾經遭到入侵,管理員可能也無從得知。(編譯/林妍

 
捕夢網數位科技有限公司 版權所有 Copyright© 2003-2014 Pumo All Rights Reserved
24小時客服專線:02-8226-9123 / 傳真電話:02-8226-9122  客服信箱:service@pumo.com.tw