Skip to main content

心跳 錯誤

相關錯誤

"此伺服器難以抵禦 Heartbleed。更新到最新版本的 OpenSSL,取代網頁伺服器或設備中的憑證,重設在遭到破壞的伺服器記憶中可能看到的終端使用者。"

問題

Heartbleed (心臟出血) 漏洞是 OpenSSL 加密程式庫的心跳延伸程式。OpenSSL 1.0.1 到 1.0.1f 版 和 1.0.2-beta1 版中的加密程式庫難以抵禦此攻擊。Heartbleed Bug 漏洞是在 OpenSSL 加密程式庫中的弱點,讓攻擊者可以存取正常由 SSL 和 TLS 通訊協定保護的敏感資料。

Note

OpenSSL 是實行 Secure Sockets Layer (SSL) 和 Transport Security Layer Security (TLS) 通訊協定的開放來源工具組。其包括採用加密功能和提供不同公用程式功能的加密程式庫。加密程式庫常由伺服器在網際網路上實行,以保護大多數網際網路流量的安全。

攻擊者可以使用 Heartbleed 漏洞攻擊取得:

  • 加密金鑰

    攻擊者可以使用這些金鑰解密過去和將來到您網站的安全通訊,並且隨時扮演您的網站。

  • 使用者認證

    攻擊者可以使用您客戶的使用者名稱和密碼,存取由您的網站保護安全的資料。

  • 受保護的內容

    攻擊者可以存取私人或財務資料、私密通訊 (電郵或即時訊息) 和文件。

  • 驗證是否已修補漏洞

    攻擊者可以存取洩漏的記憶內容,例如記憶體位址和安全措施。

解決方案

修補軟體

保護您的環境免於遭受 Heartbleed Bug 攻擊時,您需修補在執行有漏洞版本的 OpenSSL 的伺服器上的 OpenSSL,以及使用受影響版本的 OpenSSL 程式庫的軟體。

更新到最新版本的 OpenSSL (1.0.1g 版或更新版本)。

  • 伺服器

    檢查您的套件管理員是否有更新的 OpenSSL 套件並安裝。如果您沒有更新的 OpenSSL 套件,請向您的服務提供者取得最新版的 OpenSSL。

  • 軟體

    檢查是否有發佈用於修正 Heartbleed 漏洞的軟體並安裝。如果您沒有軟體修補程式,請聯絡您的軟體廠商以取得最新的修補程式並安裝。

Note

您可能需要在修補後重新啟動您的軟體,以確定 OpenSSL 程式庫已重新設定,並從快取記憶體中移除 Heartbleed Bug。

如果您無法升級到最新版本的 OpenSSL:

  • 回復 OpenSSL1.0.0 或更舊版本。

  • 使用 OPENSSL_NO_HEARTBEATS 旗標重新編譯 OpenSSL。

驗證修補的漏洞

使用 DigiCert Discovery 重新掃描您的環境,以確定您不再難以抵禦 Heartbleed 漏洞攻擊。

重設金鑰、重新發行和安裝憑

  • 在您受影響的伺服器上重設金鑰與重新發行所有憑證。重新發行憑證時,確定產生新的憑證簽署要求 (CSR)。請參閱建立 CSR

  • 修補伺服器和軟體後,而且僅限在修補後才能安裝您的重新發行的憑證。

撤銷取代的憑證

安裝重新發行的憑證後,您需要撤銷已遭到取代的憑證。若要撤銷您的憑證,請聯絡您的憑證授權單位。

關於 DigiCert 客戶,請以電郵傳送支援。確定加入您的憑證的訂單編號,並且簡述您要撤銷的內容。

重設密碼

如果您的伺服器接受密碼,您應該讓您的用戶端重設他們的密碼,但在修補伺服器和軟體與重設金鑰、重新發行、安裝和撤銷憑證後。

Note

若用戶端在修補伺服器或軟體和重設金鑰、重新發行、安裝和撤銷憑證前重設他們的密碼,但他們的密碼仍暴露。他們必須重設他們的密碼。

: