| CVE編號 | 尚無CVE編號 |
|---|---|
| 影響產品 | OpenSSL 1.0.1~1.0.1f版本、 OpenSSL 1.0.2-beta~1.0.2-beta1版本 ■影響系統版本:安裝有弱點版本OpenSSL的任意作業系統 |
| 解決辦法 | 1.安裝有OpenSSL的主機可於登入後執行 openssl version指令確認使用OpenSSL版本是否為受影響版本。 2.OpenSSL已釋出相關修補程式: OpenSSL 版本 1.0.1系列 - 更新至版本1.0.1g。 OpenSSL 版本 1.0.2-beta1 - 更新至版本1.0.2-beta2。(截至4/11官網尚未釋出,請再注意官網更新) 修補程式詳見:https://www.openssl.org/source/ |
| 張貼日 | 2014-04-11 |
| 上稿單位 | TWCERT/CC |
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0006
OpenSSL存在高風險漏洞 (漏洞編號:CVE-2014-0160),漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關,因此漏洞又被稱為heartbleed漏洞,將造成記憶體內容外洩風險。
攻擊者利用該漏洞無需通過權限或身分驗證,即可讀取伺服器記憶體,竊取x.509加密金鑰、使用者帳號密碼、cookies等,將可對 OpenSSL 保護的網路通信進行解密、偽冒或進行中間人攻擊,竊取e-mail、文件及通訊內容等機敏資訊。