請各單位儘速檢查網路伺服器,修補OpenSSL安全漏洞

網路組轉發「教育機構ANA通報平台」公告

===================================

發佈編號  發佈時間  
事故類型 ANA-漏洞預警 發現時間 2014-04-09 00:00:00 
影響等級 高  

[主旨說明:]OpenSSL存在高風險CVE-2014-0160漏洞 

[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0006

OpenSSL存在高風險漏洞 (漏洞編號:CVE-2014-0160),漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關,因此漏洞又被稱為heartbleed漏洞,將造成記憶體內容外洩風險。

攻擊者利用該漏洞無需通過權限或身分驗證,即可讀取伺服器記憶體,竊取x.509加密金鑰、使用者帳號密碼、cookies等,將可對 OpenSSL 保護的網路通信進行解密、偽冒或進行中間人攻擊,竊取e-mail、文件及通訊內容等機敏資訊。

煩請貴單位協助公告及轉發轄下單位,盡速依建議措施修補相關漏洞。

[影響平台:]
OpenSSL 1.0.1~1.0.1f版本、 
OpenSSL 1.0.2-beta~1.0.2-beta1版本 
影響系統版本:安裝有弱點版本OpenSSL的任意作業系統 

[建議措施:]
1.安裝有OpenSSL的主機可於登入後執行 openssl version指令確認使用OpenSSL版本是否為受影響版本。 
2.OpenSSL已釋出相關修補程式: 
OpenSSL 版本 1.0.1系列 – 更新至版本1.0.1g。 
OpenSSL 版本 1.0.2-beta1 – 更新至版本1.0.2-beta2。(截至4/11官網尚未釋出,請再注意官網更新) 
修補程式詳見:https://www.openssl.org/source/ 

[對網站瀏覽者的建議]
一般使用者是無法解決heartbeat漏洞問題的,因為這並不是使用者的電腦或裝置問題,而是網站或網路服務的問題,但是為了避免造成你的資料外洩,你可以採取以下自我保護措施:
保持警覺,了解瀏覽有heartbeat漏洞問題的網站,自己的資料可能會外洩。
若服務供應商要求你變更密碼,請依照建議執行。
觀察自己的帳號是否有可疑的活動,主動變更像是電子郵件或金融服務等重要服務的密碼。
使用最新的防毒軟體。
不要存取不明網站,尤其網址是https://  開頭的網站。

[參考資料:]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 
https://www.openssl.org/news/secadv_20140407.txt 
http://heartbleed.com/ 
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160 

http://www.securityfocus.com/bid/66690/info

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。
國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@icst.org.tw

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw

===================================