OpenSSL漏洞來襲,企業(yè)注意修復(fù)
安全專家稱,很多企業(yè)自行維護(hù)的信息系統(tǒng)沒有使用OpenSSL,但卻忽略了外包的信息系統(tǒng)也有使用OpenSSL而同樣面臨了漏洞的威脅,因此,企業(yè)需要聯(lián)系外包廠商確認(rèn)是否使用OpenSSL加密技術(shù)。
老牌加密技術(shù)OpenSSL的重大資安漏洞Heartbleed影響越演越烈,國外大型網(wǎng)絡(luò)公司如Google、Yahoo等皆迅速大動作修補(bǔ)。安全專家也呼吁,網(wǎng)絡(luò)服務(wù)業(yè)者要展開修補(bǔ)升級動作。這是全球性的安全問題,中國一定會受影響,例如在電子商務(wù)、金融業(yè)或企業(yè)使用的網(wǎng)絡(luò)設(shè)備等皆會受到影響。
這次漏洞不會造成服務(wù)中斷,因此大部分的用戶跟系統(tǒng)維護(hù)者不易發(fā)覺,所以,該漏洞在國內(nèi)第一時間沒有受到關(guān)注,但其影響層面確實(shí)很大,全球有60%的服務(wù)器暴露在Heartbleed危機(jī)當(dāng)中,只要是Apache服務(wù)器,或使用Linux或Unix操作系統(tǒng)的服務(wù)器所提供的網(wǎng)絡(luò)服務(wù),都有可能被駭。
對于企業(yè):
由于OpenSSL已釋出OpenSSL 1.0.1g來修補(bǔ)Heartbleed漏洞,因此企業(yè)可聯(lián)系軟件供貨商詢問是否已更新軟件,任何使用過含有該漏洞的業(yè)者都必須假設(shè)已曾被黑客攻陷,因此應(yīng)該要重新產(chǎn)生包含密鑰或密碼的各種機(jī)密信息,在更新后也應(yīng)置換各種憑證。
若無法實(shí)時取得更新軟件,業(yè)者可關(guān)閉OpenSSL上的heartbeat功能,諸如Apache或Nginx等系統(tǒng)在關(guān)閉該功能后必須重新啟動才會生效。
在完成修補(bǔ)后,企業(yè)也應(yīng)該考慮是否要重新設(shè)定系統(tǒng)上所有用戶的密碼,以防曾被存取過。
對于消費(fèi)者:
基本上消費(fèi)者或一般使用者是無法解決heartbeat漏洞問題的,因?yàn)檫@并不是消費(fèi)者的計(jì)算機(jī)或設(shè)備的問題,而是網(wǎng)站或網(wǎng)絡(luò)服務(wù)的問題。
不過,安全專家認(rèn)為,消費(fèi)者起碼要知道自己的數(shù)據(jù)可能已外泄,同時保持警覺,若服務(wù)供貨商要求你變更密碼,請依照建議執(zhí)行,并觀察自己的賬號是否有可疑的活動,主動變更像是電子郵件或金融服務(wù)等重要服務(wù)的密碼,以及使用最新的防病毒軟件。
卡巴斯基實(shí)驗(yàn)室列出已確定受到heartbeat漏洞影響的業(yè)者或產(chǎn)品,涵蓋Amazon、Fedora、FreeBSD、Google、Juniper Networks、NetBSD、Ubuntu及VMware等。
