许多服务器受到HeartBleed攻击。马上行动!

2014/07/22

各种新闻报道已经证实,有许多web服务器仍然容易受到Heartbleed漏洞的攻击,影响执行SSL的Apache服务器。该错误首次被报道是在今年的四月初。Oracle最近发布的一系列产品都受到Heartbleed OpenSSL攻击以及黑客也似乎准备全面利用Heartbleed漏洞攻击。

该问题范围已经暴露由Solutionary安全专家研究小组(SERT)2014年第二季度的报告中,许多服务器仍然受到Heartbleed漏洞的影响。该报告对今年初确定的heartbleed漏洞,指出这个漏洞可允许黑客使用OpenSSL来拦截浏览器和web服务器之间的通信。

SERT也发现该漏洞很容易被黑客利用,并有大量的服务器仍然容易受到此攻击。截至2014年6月21日,该漏洞被发现的2个月后,虽然所有需要用来解决该问题的信息都被提供,但仍然有309147架服务器仍然容易受到Heartbleed攻击。

 

有哪些服务器是容易受到攻击的?

当您通过1.0.1f和OpenSSL 1.0.2-beta安装了Open SSL 1.0.1, 那么这个问题您值得关注。而所有其他的SSL部署和数字证书用户不受影响,这包括了为软II web服务器的所有用户。

如果您还是不太确定自己是否有受影响,科摩多已经更新了其SSL分析工具可以为您的网站检查。您只需输入您的地址在以下页面就可以了:

https://sslanalyzer.comodoca.com/heartbleed.html

注意:只有输入使用收视率的域名。如果该网站忙碌,您也可以使用https://sslanalyzer.comodoca.com/

如果您的网站容易受到攻击,科摩多将与您携手确保您的系统使用的是OpenSSL修复般。我们会协助您快速和简单的获取证书重新颁发,作为OpenSSL的补丁。

致电+1 888-256-2608或发邮件到Enterprisesolutions@comodo.com以联系企业SSL专家。

什么是漏洞?

OpenSSL中的漏洞允许远程攻击者暴露敏感数据,这包括通过不正确处理在TLS hearbeat扩展中的内存而泄露的用户身份验证凭证和密钥。这个漏洞允许远程攻击者从一个使用OpenSSL库的应用程序中以每次64k的速度获取私有内存。

发现历程

该Heartbleed漏洞是被一群由Codenomicon的安全工程师和谷歌安全部的Neel Mahta发现的。在2014年4月7日,他们向互联网社区公布了受欢迎OpenSSL加密库的漏洞。更贴切称之为 Heartbleed漏洞,这个漏洞影响了OpenSSL 1.0.1, 1.0.1f(包括)。

据了解,Heartbleed漏洞不是来自于SSL或TLS协议的,相反的,它是OpenSSL 实现TLS/DTLS “心跳”时,存在的功能缺陷。该缺陷与公开受信任的证书是不相关的,但却是与服务器软件有关的问题。

升级您的服务器

请检查您的软件包管理器,以安装更新的OpenSSL软件包。如果您没有更新的软件包,请您联系您的服务供应赏以获取最新版本的OpenSSL,并立刻安装。

解决方法

只有无法升级到OpenSSL的最新版本,才采用这些解决方法。如果您无法升级到最新版本的OpenSSL,请执行以下其中一个操作:

》回滚OpenSSL到1.0.0或更早的版本

》重新编译OpenSSL并启用OPENSSL_NO_HEARTBEATS标志

更新密钥、重新颁发并撤消您的证书

首先,您可以通过重新创建新的密钥对和证书签名请求(CSR),来更新密钥和重新颁发您的证书。要更换您的证书,请执行以下操作:

1。登陆您的账户:https://secure.comodo.com

2。点击SSL证书

3。查找您要替换/重新颁发的证书,然后点击“替换”

4。遵守所有屏幕上的说明

一旦您成功的替换了新的证书,您必须撤消旧的证书。您可以登陆到您的账户,然后点击“SSL证书”,找出您的“旧”证书订单,并点击“撤消”链接。

如果您需要任何帮助,千万不要犹豫联系我们support@comodo.com

Tags:

Write a comment

Name
Comment