“此服务器易受 Heartbleed 攻击。更新至最新版本的 OpenSSL,替换 Web 服务器或设备上的证书,以及重设可能在被攻击的服务器内存中可见的最终用户密码。”
Heartbleed Bug 位于 OpenSSL 加密库的检测信号扩展程序中。OpenSSL 版本 1.0.1 至 1.0.1f 和 1.0.2-beta1 中的加密库易受此攻击。Heartbleed Bug 漏洞是 OpenSSL 加密库中的漏洞,允许攻击者获取对通常由 SSL 和 TLS 协议提供保护的敏感信息的访问权限。
注意
OpenSSL 是一个开放源工具包,用于实现安全套接层 (SSL) 和安全传输层 (TLS) 协议。包括采用加密功能并提供不同实用程序功能的加密库。这些加密库通常由互联网上的服务器实现,以保护互联网的大部分通信。
攻击者可以通过 Heartbleed Bug 攻击获取以下访问权限:
加密密钥
攻击者可以随时使用密钥解密过去和将来与您的网站的安全通信,以及模拟您的网站。
用户凭证
攻击者可以使用客户的用户名和密码访问由您的网站提供安全保护的信息。
受保护的内容
攻击者可以访问个人或财务详细信息、私人通信(电子邮件或即时消息)以及文档。
宣传材料
攻击者可以访问泄露的内存内容,例如内存地址和安全措施。
对您的环境提供 Heartbleed Bug 防御保护时,您需修补在易受攻击的 OpenSSL 版本上运行的服务器上的 OpenSSL 以及使用受影响的 OpenSSL 库版本的软件。
升级至 OpenSSL 的最新版本(版本 1.0.1g 或更高版本)。
服务器
请向程序包经理索要更新的 OpenSSL 程序包并进行安装。如果没有更新的 OpenSSL 程序包,请通过您的服务提供商获取最新版本的 OpenSSL。
软件
请查看已发布的用于修复 Heartbleed Bug 漏洞的软件补丁并进行安装。如果没有软件补丁,请联系软件供应商以获取最新补丁并进行安装。
注意
修补后可能需要重启软件,以确保 OpenSSL 库重置且 Heartbleed Bug 漏洞从缓存中删除。
如果无法升级至最新版本的 OpenSSL:
回滚到 OpenSSL 版本 1.0.0 或更早的版本。
使用 OPENSSL_NO_HEARTBEATS 标记重新编译 OpenSSL。
使用 DigiCert Discovery 重新扫描您的环境,确保不再易受 Heartbleed Bug 攻击。
重新生成密钥并补发受影响服务器上的所有证书。补发证书时,务必生成新的证书签名请求 (CSR)。请参阅创建 CSR。
服务器和软件进行修补后,且必须在进行修补后,再安装补发的证书。
安装补发的证书后,请吊销被替换的证书。要吊销证书,请与证书颁发机构联系。
对于 DigiCert 客户,请给支持人员发送电子邮件。确保提供证书的订单编号以及对需要吊销的证书的简要描述。
如果您的服务器接受密码,您还应要求客户重设密码,但必须在服务器和软件进行修补后以及重新生成密钥、补发、安装和吊销证书后。
注意
如果客户在服务器或软件进行修补之前以及重新生成密钥、补发、安装和吊销证书之前重设密码,其密码将仍然被暴露。必须再次重设密码。