"此伺服器難以抵禦 Heartbleed。更新到最新版本的 OpenSSL,取代網頁伺服器或設備中的憑噔,重設在遭到破壞的伺服器記憶中可能看到的終端使用者密碼。"
Heartbleed Bug (心臟出血漏洞) 是 OpenSSL 加密程式庫的心跳延伸。OpenSSL 1.0.1 到 1.0.1f 版 和 1.0.2-beta1 版中的加密程式庫難以抵禦 Heartbleed Bug 攻擊。Heartbleed Bug 漏洞是在 OpenSSL 加密程式庫中的弱點,讓攻擊者可以存取正常由 SSL 和 TLS 通訊協定保護的敏感資料。
OpenSSL 是一種開放來源工具組,並採用 Secure Sockets Layer (SSL) 和 Transport Security Layer Security (運送安全層,簡稱 TLS) 通訊協定,包括一個運用加密功能和供應不同公用程式功能的加密程式庫。加密程式庫常由伺服器在網際網路上實行,以保護大多數網際網路流量的安全。
攻擊者可以使用 Heartbleed Bug 攻擊取得:
保護您的環境免於遭受 Heartbleed Bug 攻擊時,您需修補在執行有漏洞版本的 OpenSSL 的伺服器上的 OpenSSL,以及使用受影響版本的 OpenSSL 程式庫的軟體。
更新到最新版本的 OpenSSL (1.0.1g 版或更新版本)。
您可能需要在修補後重新啟動您的軟體,以確定 OpenSSL 程式庫已重新設定,並從快取記憶體中移除 Heartbleed Bug。
如果您無法升級到最新版本的 OpenSSL:
使用 DigiCert Discovery 重新掃描您的環境,以確定您不再難以抵禦 Heartbleed Bug 攻擊。
安裝重新發行的憑證後,您需要撤銷已遭到取代的憑證。若要撤銷您的憑證,請聯絡您的憑證授權單位。
關於 DigiCert 客戶,請在 support@digicert.com 以電郵傳送支援。確定加入您的憑證的訂單編號,並且簡述您要撤銷的內容。
如果您的伺服器接受密碼,您應該讓您的用戶端重設他們的密碼,但僅在修補伺服器和軟體與重設金鑰、重新發行、安裝和撤銷憑證後。
若用戶端在修補伺服器/軟體和重設金鑰、重新發行、安裝和撤銷憑證前重設他們的密碼,但他們的密碼仍暴露,而且他們必須重新重設他們的密碼。