Heartbleed漏洞:科摩多敦促OpenSSL的用户应用补丁

2014/04/10

为了应对OpenSSL加密库的漏洞,科摩多敦促其客户、合作伙伴和所有OpenSSL的用户尽快应用最新的补丁。科摩多将与客户、合作伙伴、平台供应商和服务提供商合作,确保受影响的各方面的人士意识到这个问题,也确保他们的系统已经使用更新版本的OpenSSL。

虽然该漏洞与科摩多的证书和密钥没有直接的关系,但是使用受影响的OpenSSL所生成的证书应撤消和更换。科摩多将确保客户修补OpenSSL后能够迅速获得重新颁发的证书。

谁受到该漏洞影响?

凡是通过OpenSSL 1.0.1f和OpenSSL1.0.2beta安装OpenSSL1.0.1的用户受到该漏洞影响。而其他SSL的实现和数字证书的用户却不受影响。

如果您不确定您的网站是否受到影响,科摩多已经更新了其SSL分析工具好让您检查。只需简单的输入您的网站地址在这页面:https://sslanalyzer.comodoca.com/heartbleed.html

该漏洞的危险之处

OpenSSL漏洞通过TLS heartbeat扩展不正确的内存处理,允许远程攻击者暴露敏感数据,这可能包括用户身份验证凭据和密钥。由于遗漏了一处边界检查,使攻击者无需任何特权信息或身份验证,就能够从内存中读取请求存储位置之外的多达64 KB的数据,可能包含证书私钥、用户名与密码、聊天消息、电子邮件以及重要的商业文档和通信等数据。

发现Heartbleed历程

该Heartbleed漏洞是由一群来自Codenomicon安全公司的工程师和谷歌的安全小组的Neel Mahta发现的。于2014年4月7日,他们在互联网社区公布了OpenSSL加密库的漏洞。Heartbleed漏洞通过1.0.1f版本影响OpenSSL1.01。

必须要了解的是,Heartbleed bug不是SSL或TLS协议的漏洞,相反的,它是在OpenSSL中实现TLS/DTLS heartbeat功能的错误。该错误与受信任证书是不相关的,也不是由证书导致的。它其实是服务器软件的问题。

升级服务器

检查您的软件包管理器以安装更新的OpenSSL软件。如果您没有更新的OpenSSL软件请您联系您的服务供应商以获得最新版本的OpenSSL.

解决方法

这个方法只可以让无法升级到最新版本OpenSSL的用户使用。如果您无法升级OpenSSL到最新版本,请执行以下其中之一:

》回滚OpenSSL到1.0.0或更早的版本

》以OPENSSL_NO_HEARTBEATS标志来重新编译 OpenSSL

更新密钥,重新颁发和撤消您的证书

首先,您需要重定密钥和重新颁发您的证书.您可以重新创建您的新密钥和证书签名请求(CRS). 您的CA可以协助您生成CSR并提供给您有关密钥更新证书的额外信息。

一旦您的证书被更新和颁发,您必须撤消您的证书。请联系您的证书颁发机构以撤消您的证书。

Write a comment

Name
Comment