针对OpenSSL Heartbleed漏洞对紫光恒越在网设备影响的声明
发布时间:2016-12-27OpenSSL作为开源的加密套件,在全球范围内被广泛使用。2014年4月7日,CloudFlare公司在其博客上发布了一个公开声明,表示发现了OpenSSL 1.0.1版本的漏洞。此漏洞可以让攻击者获得服务器上64K内存中的数据内容,这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。同日,OpenSSL官网发布该漏洞通告,并修复此漏洞。
此漏洞标识为CVE-2014-0160,具体如下:
漏洞分类: | Vulnerability |
CVE编号: | CVE-2014-0160 |
参考链接: | http://www.securityfocus.com/bid/66690 |
漏洞描述: | OpenSSL TLS心跳扩展协议在实现上存在边界检查漏洞,攻击者可以利用此漏洞导致内存泄漏,泄露的64K内存中会可能包含用户名密码等敏感信息。 |
影响版本: | 仅OpenSSL的1.0.1及1.0.2-beta版本受此漏洞影响,包括:1.0.1f及1.0.2-beta1版本。 |
在获悉该漏洞信息后,紫光恒越迅速启动紧急响应机制,声明如下:
1、紫光恒越已针对公司全系列产品进行测试验证,已明确所有紫光恒越产品均不受该漏洞影响,广大用户无需针对现网紫光恒越产品进行改动。
2、紫光恒越安全攻防团队针对该漏洞已发布攻击防护特征库,拥有紫光恒越 IPS设备的用户可升级设备特征库,用于防范对其他设备或服务器的漏洞攻击。特征库版本号为:SEC-IPS-R1.2.276_EN。