"此服务器易受 Heartbleed 攻击。更新至最新版本的 OpenSSL,替换 Web 服务器或设备上的证书,以及重设可能在被攻击的服务器内存中可见的最终用户密码。"
Heartbleed Bug 位于 OpenSSL 加密库的检测信号扩展程序中。OpenSSL 版本 1.0.1 至 1.0.1f 和 1.0.2-beta1 中的加密库易受 Heartbleed Bug 攻击。Heartbleed Bug 漏洞是 OpenSSL 加密库中的漏洞,允许攻击者获取对通常由 SSL 和 TLS 协议提供保护的敏感信息的访问权限。
OpenSSL 是一个开放源工具包,用于实现安全套接层 (SSL) 和安全传输层 (TLS) 协议,包括采用加密功能并提供不同实用程序功能的加密库。这些加密库通常由互联网上的服务器实现,以保护互联网的大部分通信。
攻击者可以通过 Heartbleed Bug 攻击获取以下访问权限:
对您的环境提供 Heartbleed Bug 防御保护时,您需修补在易受攻击的 OpenSSL 版本上运行的服务器上的 OpenSSL 以及使用受影响的 OpenSSL 库版本的软件。
升级至 OpenSSL 的最新版本(版本 1.0.1g 或更高)。
修补后可能需要重启软件,以确保 OpenSSL 库重置且 Heartbleed Bug 漏洞从缓存中删除。
如果无法升级至最新版本的 OpenSSL:
使用 DigiCert Discovery 重新扫描您的环境,确保不再易受 Heartbleed Bug 攻击。
安装补发的证书后,请吊销被替换的证书。要吊销证书,请与证书颁发机构联系。
对于 DigiCert 客户,请发送电子邮件至:support@digicert.com。确保提供证书的订单编号以及对需要吊销的证书的简要描述。
如果您的服务器接受密码,您还应要求客户重设密码,但必须在服务器和软件进行修补后以及重新生成密钥、补发、安装和吊销证书后。
如果客户在服务器/软件进行修补之前以及重新生成密钥、补发、安装和吊销证书之前重设密码,其密码将仍然被暴露,必须再次重设密码。
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.