2014年4月25日 星期五

IT產品Heartbleed災情大清查

IT產品Heartbleed災情大清查

企業應立刻清查內部使用了多少Heartbleed受災產品,儘快更新,並持續關注後續災情以防萬一。目前揭露的Heartbleed災情只是冰山一角,企業MIS必須持續關注各種資訊產品的安全更新動態,才能掌握最新的Heartbleed災情。


這次OpenSSL加密的Heartbleed危機,不只許多知名網路服務受創,也波及許多IT產品,不論是底層的作業系統、資料庫、網站伺服器、資安產品、網路通訊及安全設備,甚至是虛擬化平臺,都有傳出受影響的災情。我們也在4月16日時,整理了幾項目前已揭露的重要IT產品受災情況,可供企業參考。

若企業使用了這些受到影響的產品,需儘快更新和採取必要的防護措施,例如重新產生加密金鑰和撤銷舊有的公開金鑰,也要通知相關使用者更換密碼。

不過這份清單並非是完整的受災清單,更多Heartbleed漏洞災情仍持續揭露,企業須持續關注各資訊產品的更新動態,才能掌握最新的Heartbleed災情和影響。因為微軟沒有使用OpenSSL做傳輸加密,是少數不受Heartbleed災情影響的廠商之一。

作業系統產品受災清單

●Android:目前僅發現4.1.1版受影響,Google已釋出修補版本,但仍由各手機業者自行決定釋出更新的時程。

●Red Hat RHEL:6.5以後版本和RHEL 7測試版受到影響,官方已釋出更新,但6.4以前版本不受影響。

●CentOS:6.5版受影響,官方已釋出更新。

●Debian:穩定的Wheezy版本和測試中的Jessie版本均受影響,Squeezex舊版則不受影響,官方已釋出更新。

●Fedora:19和20版受影響,官方已釋出更新。

●FreeBSD:8~10.0版均受到影響,官方已釋出更新。

●openSUSE:12.2版受影響,官方已釋出更新。

●Oracle Linux:6受影響,甲骨文已釋出更新。

●Solaris:11.1版和更早版本不受影響,特定11.2版本受影響,可聯繫Oracle尋求更新。

●Ubuntu:受影響版本包括了12.04LTS版、12.10版和13.10版,官方已釋出更新。

●DragonFlyBSD:3.6.1版受影響,已釋出更新。

●NetBSD:6版受影響,已釋出更新。

●其他受影響的Linux或BSD套件:Slackware 14.0、14.1和現行版本、Scientific Linux 6.5、Gentoo Linux。多已釋出更新。

●不受影響的作業系統產品:Windows Server(包括2003、2003 R2、2008、2008 R2、2012、2012 R2)、OSX、iOS

網站伺服器產品受災清單 

●Apache HTTP Server:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的Apache網站伺服器都需更新。OpenSSL已釋出修補程式。

●Nginx:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的Nginx網站伺服器都需更新。OpenSSL已釋出修補程式。

●不受影響的網站伺服器產品:微軟IIS、IBM WebSphere。

虛擬化產品受災清單 

●VMware受影響產品:不少VMware產品因使用OpenSSL 1.0.1而受到影響,包括了ESXi 5.5、vCenter Server 5.5、VMware Fusion 6.0.x、VMware Horizon View 5.3 Feature Pack 1、NSX-MH 4.x、NSX-V 6.0.x、NVP 3.x、VMware Fusion 6.0.x等。

●VMware不受影響產品:包括了ESXi/ESX 4.x、ESXi 5.0和5.1版、vCenter Server 5.1以前版本(4.x、5.0與5.1版)、VMware Horizon View 5.x和5.2 Feature Pack 1與Pack 2、VMware Fusion 5.x、VMware ThinApp、VMware Workstation等。完整受影響和不受影響清單請參考VMware官網公告,官方已釋出更新。

●不受影響的虛擬化產品:包括了微軟Hyper-V、XenServer(使用OpenSSL0.9.8舊版),Oracle VM和VirtualBox 4.2和4.3。

資料庫產品受災清單 

●MySQL、MariaDB和PostgreSQL:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的資料庫系統都需更新。OpenSSL已釋出修補程式。

●不受影響的產品:甲骨文資料庫、微軟SQL Server。

資安產品受災清單 

●McAfee:多款產品受影響,例如ePolicy Orchestrator、Next Generation Firewall (Stonesoft)、McAfee Firewall Enterprise、McAfee SIEM、McAfee Email Gateway、McAfee Web Gateway等。已提供更新方式,完整清單和更新方式請參考官網。

●Symantec:受影響產品包括SEPM 12.1 RU2到12.1 RU4 MP1。官方網站也提供初步應急處理方式。

●F- Secure:受影響企業產品包括F-Secure Server Security、E-mail和Server Security 10.x到11版、PSB Server Security/Email Server Security 10.00版、F-Secure Messaging Secure Gateway 7.5、Protection Service for Email 7.5。官方已提供更新或因應方式。

●Splunk:受影響產品包括了6.0.0、6.0.1、6.0.2版。官方已提供更新。

●Kaspersky:受影響產品包括Kaspersky Security Center 10 Maintenance Release 1(10.1.249版)和Kaspersky Security Center 10(10.0.3361版),官方已提供更新。

●不受影響產品:趨勢科技資安產品。

網路通訊及安全產品受災廠牌 

不少網通廠商的設備,例如交換器、防火牆、Proxy伺服器、UTM、負載平衡設備等產品都可能受到漏洞影響,目前已知受影響的網通廠牌包括了Aruba Networks、Barracuda、BlueCoat、Cisco、Dell、D-Link、F5、FireEye、Fortinet、Imperva、Juniper Networks、Sophos、WatchGuard等,也有部分廠商正在清查確認中,如CheckPoint。多數廠商均已提供修補程式,各廠牌受影響產品清單和更新方式,可參考各廠牌官方網站。

資料來源:各廠商官網、Piyokango,iThome整理
轉載自《iThome》