基于密码技术的云安全服务商

新闻中心

当前位置:首页 > 新闻中心 > 行业动态

OpenSSL Heartbleed漏洞解决方案

来源: | 浏览:0 | 时间:2014-10-15 15:55:58

2014年47OpenSSL发布了安全公告,在OpenSSL 1.0.1版本中存在 HeartbleedCVE-2014-0160)严重漏洞,该漏洞导致攻击者可以通过TLS(主要受影响的是提供HTTPS单向认证的服务器)每次远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据,可能会泄露内存内的敏感数据,甚至有可能会泄露服务器私钥,所带来的直接影响和后续影响是不可估量的。

 

影响版本范围:1.0.1 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1

已修复版本:1.0.1g / 1.0.2-beta2

OpenSSL 的公告如下:https://www.openssl.org/news/secadv_20140407.txt

 

建议的修复方案:

1、升级OpenSSL1.0.1g / 1.0.2-beta2或更新版本。

2、如果私钥没有采用安全可靠硬件保护,私钥可能存在泄露的风险,则需要注销原服务器证书,重新申请新的服务器证书。

3、使用安全可靠地密码硬件保护服务器私钥,在Web服务器后端部署密码机保护服务器私钥(Web服务器安全增强方案:http://www.sansec.com.cn/html/2014/1031/84.html),或前端部署具有安全硬件保护密钥模块的SSL VPN产品处理SSL/TLS通信协议。

4、开启SSL/TLS双向身份认证,可降低安全风险。

5、使用具有相应防护能力的Web应用防火墙。

北京三未信安科技发展有限公司

2014年4