"此服务器易受 Heartbleed 攻击。更新至最新版本的 OpenSSL,替换 Web 服务器或设备上的证书,以及重设可能在被攻击的服务器内存中可见的最终用户密码。"
Heartbleed Bug 位于 OpenSSL 加密库的检测信号扩展程序中。OpenSSL 版本 1.0.1 至 1.0.1f 和 1.0.2-beta1 中的加密库易受 Heartbleed Bug 攻击。Heartbleed Bug 漏洞是 OpenSSL 加密库中的漏洞,允许攻击者获取对通常由 SSL 和 TLS 协议提供保护的敏感信息的访问权限。
OpenSSL 是一个开放源工具包,用于实现安全套接层 (SSL) 和安全传输层 (TLS) 协议,包括采用加密功能并提供不同实用程序功能的加密库。这些加密库通常由互联网上的服务器实现,以保护互联网的大部分通信。
攻击者可以通过 Heartbleed Bug 攻击获取以下访问权限:
对您的环境提供 Heartbleed Bug 防御保护时,您需修补在易受攻击的 OpenSSL 版本上运行的服务器上的 OpenSSL 以及使用受影响的 OpenSSL 库版本的软件。
升级至 OpenSSL 的最新版本(版本 1.0.1g 或更高)。
修补后可能需要重启软件,以确保 OpenSSL 库重置且 Heartbleed Bug 漏洞从缓存中删除。
如果无法升级至最新版本的 OpenSSL:
使用 DigiCert Discovery 重新扫描您的环境,确保不再易受 Heartbleed Bug 攻击。
安装补发的证书后,请吊销被替换的证书。要吊销证书,请与证书颁发机构联系。
对于 DigiCert 客户,请发送电子邮件至:support@digicert.com。确保提供证书的订单编号以及对需要吊销的证书的简要描述。
如果您的服务器接受密码,您还应要求客户重设密码,但必须在服务器和软件进行修补后以及重新生成密钥、补发、安装和吊销证书后。
如果客户在服务器/软件进行修补之前以及重新生成密钥、补发、安装和吊销证书之前重设密码,其密码将仍然被暴露,必须再次重设密码。