Heartbleed 錯誤

相關錯誤

"此伺服器難以抵禦 Heartbleed。更新到最新版本的 OpenSSL,取代網頁伺服器或設備中的憑噔,重設在遭到破壞的伺服器記憶中可能看到的終端使用者密碼。"

問題

Heartbleed Bug (心臟出血漏洞) 是 OpenSSL 加密程式庫的心跳延伸。OpenSSL 1.0.1 到 1.0.1f 版 和 1.0.2-beta1 版中的加密程式庫難以抵禦 Heartbleed Bug 攻擊。Heartbleed Bug 漏洞是在 OpenSSL 加密程式庫中的弱點,讓攻擊者可以存取正常由 SSL 和 TLS 通訊協定保護的敏感資料。

OpenSSL 是一種開放來源工具組,並採用 Secure Sockets Layer (SSL) 和 Transport Security Layer Security (運送安全層,簡稱 TLS) 通訊協定,包括一個運用加密功能和供應不同公用程式功能的加密程式庫。加密程式庫常由伺服器在網際網路上實行,以保護大多數網際網路流量的安全。

攻擊者可以使用 Heartbleed Bug 攻擊取得:

  • 加密金鑰
    攻擊者可以使用這些金鑰解密過去和將來到您網站的安全通訊,並且隨時扮演您的網站。
  • 使用者認證
    攻擊者可以使用您客戶的使用者名稱和密碼,存取由您的網站保護安全的資料。
  • 受保護的內容
    攻擊者可以存取私人或財務資料、私密通訊 (電郵或即時訊息) 和文件。
  • 附帶
    攻擊者可以存取洩漏的記憶內容,例如記憶體位址和安全措施。

解決方法

修補軟體

保護您的環境免於遭受 Heartbleed Bug 攻擊時,您需修補在執行有漏洞版本的 OpenSSL 的伺服器上的 OpenSSL,以及使用受影響版本的 OpenSSL 程式庫的軟體。

更新到最新版本的 OpenSSL (1.0.1g 版或更新版本)。

  • 伺服器
    檢查您的套件管理員是否有更新的 OpenSSL 套件並安裝。如果您沒有更新的 OpenSSL 套件,請向您的服務供應商取得最新版的 OpenSSL。
  • 軟體
    檢查是否有發佈用於修正 Heartbleed Bug 漏洞的軟體並安裝。如果您沒有軟體修補程式,請聯絡您的軟體廠商以取得最新的修補程式並安裝。
    註:您可能需要在修補後重新啟動您的軟體,以確定 OpenSSL 程式庫已重新設定,並從快取記憶體中移除 Heartbleed Bug。

您可能需要在修補後重新啟動您的軟體,以確定 OpenSSL 程式庫已重新設定,並從快取記憶體中移除 Heartbleed Bug。

如果您無法升級到最新版本的 OpenSSL:

  • 回復 OpenSSL1.0.0 或更舊版本。
  • 使用 OPENSSL_NO_HEARTBEATS 旗標重新編譯 OpenSSL。

確認已修補 Heartbleed Bug 漏洞

使用 DigiCert Discovery 重新掃描您的環境,以確定您不再難以抵禦 Heartbleed Bug 攻擊。

重設金鑰、重新發行和安裝憑

  • 在您受影響的伺服器上,重設金鑰和重新發行所有憑證。
    重新發行憑證時,確定產生新的憑證簽章要求 (CSR)。請參閱建立 CSR
  • 修補伺服器和軟體後,而且僅限在修補後才能安裝您的重新發行的憑證。

撤銷取代的憑證

安裝重新發行的憑證後,您需要撤銷已遭到取代的憑證。若要撤銷您的憑證,請聯絡您的憑證授權單位。

關於 DigiCert 客戶,請在 support@digicert.com 以電郵傳送支援。確定加入您的憑證的訂單編號,並且簡述您要撤銷的內容。

重設密碼

如果您的伺服器接受密碼,您應該讓您的用戶端重設他們的密碼,但僅在修補伺服器和軟體與重設金鑰、重新發行、安裝和撤銷憑證後。

若用戶端在修補伺服器/軟體和重設金鑰、重新發行、安裝和撤銷憑證前重設他們的密碼,但他們的密碼仍暴露,而且他們必須重新重設他們的密碼。

關於

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.