Heartbleed 錯誤

相關錯誤

"此伺服器難以抵禦 Heartbleed。更新到最新版本的 OpenSSL,取代網頁伺服器或設備中的憑噔,重設在遭到破壞的伺服器記憶中可能看到的終端使用者密碼。"

問題

Heartbleed Bug (心臟出血漏洞) 是 OpenSSL 加密程式庫的心跳延伸。OpenSSL 1.0.1 到 1.0.1f 版 和 1.0.2-beta1 版中的加密程式庫難以抵禦 Heartbleed Bug 攻擊。Heartbleed Bug 漏洞是在 OpenSSL 加密程式庫中的弱點,讓攻擊者可以存取正常由 SSL 和 TLS 通訊協定保護的敏感資料。

OpenSSL 是一種開放來源工具組,並採用 Secure Sockets Layer (SSL) 和 Transport Security Layer Security (運送安全層,簡稱 TLS) 通訊協定,包括一個運用加密功能和供應不同公用程式功能的加密程式庫。加密程式庫常由伺服器在網際網路上實行,以保護大多數網際網路流量的安全。

攻擊者可以使用 Heartbleed Bug 攻擊取得:

  • 加密金鑰
    攻擊者可以使用這些金鑰解密過去和將來到您網站的安全通訊,並且隨時扮演您的網站。
  • 使用者認證
    攻擊者可以使用您客戶的使用者名稱和密碼,存取由您的網站保護安全的資料。
  • 受保護的內容
    攻擊者可以存取私人或財務資料、私密通訊 (電子郵件或即時訊息) 和文件。
  • 附帶
    攻擊者可以存取洩漏的記憶內容,例如記憶體位址和安全措施。

解決方法

修補軟體

保護您的環境免於遭受 Heartbleed Bug 攻擊時,您需修補在執行有漏洞版本的 OpenSSL 的伺服器上的 OpenSSL,以及使用受影響版本的 OpenSSL 程式庫的軟體。

更新到最新版本的 OpenSSL (1.0.1g 版或更新版本)。

  • 伺服器
    檢查您的套件管理員是否有更新的 OpenSSL 套件並安裝。如果您沒有更新的 OpenSSL 套件,請向您的服務供應商取得最新版的 OpenSSL。
  • 軟體
    檢查是否有發佈用於修正 Heartbleed Bug 漏洞的軟體並安裝。如果您沒有軟體修補程式,請聯絡您的軟體廠商以取得最新的修補程式並安裝。
    註:您可能需要在修補後重新啟動您的軟體,以確定 OpenSSL 程式庫已重新設定,並從快取記憶體中移除 Heartbleed Bug。

您可能需要在修補後重新啟動您的軟體,以確定 OpenSSL 程式庫已重新設定,並從快取記憶體中移除 Heartbleed Bug。

如果您無法升級到最新版本的 OpenSSL:

  • 回復 OpenSSL1.0.0 或更舊版本。
  • 使用 OPENSSL_NO_HEARTBEATS 旗標重新編譯 OpenSSL。

確認已修補 Heartbleed Bug 漏洞

使用 DigiCert Discovery 重新掃描您的環境,以確定您不再難以抵禦 Heartbleed Bug 攻擊。

重設金鑰、重新發行和安裝憑

  • 在您受影響的伺服器上,重設金鑰和重新發行所有憑證。
    重新發行憑證時,確定產生新的憑證簽章要求 (CSR)。請參閱建立 CSR
  • 修補伺服器和軟體後,而且僅限在修補後才能安裝您的重新發行的憑證。

撤銷取代的憑證

安裝重新發行的憑證後,您需要撤銷已遭到取代的憑證。若要撤銷您的憑證,請聯絡您的憑證授權單位。

關於 DigiCert 客戶,請在 support@digicert.com 以電子郵件傳送支援。確定加入您的憑證的訂單編號,並且簡述您要撤銷的內容。

重設密碼

如果您的伺服器接受密碼,您應該讓您的用戶端重設他們的密碼,但僅在修補伺服器和軟體與重設金鑰、重新發行、安裝和撤銷憑證後。

若用戶端在修補伺服器/軟體和重設金鑰、重新發行、安裝和撤銷憑證前重設他們的密碼,但他們的密碼仍暴露,而且他們必須重新重設他們的密碼。