前幾日爆發的OpenSSL漏洞Heartbleed,在網路上是傳的風聲鶴唳、人心惶惶,
這場被Bruce Schneier以"On the scale of 1 to 10, this is an 11"所形容的災難,
影響遍及各類使用OpenSSL1.0.1到1.0.1f的產品,包括軟體、線上服務硬體設施,
雪上加霜的是,現下更已經出現自動化攻擊工具;雖然對Norman這種一般使用者來說,
知不知道Heartbleed好像也沒什麼影響,畢竟根本無能為力,但減少些不確定性總是好的─
iThome看到的報導,現在網路上已經有一些簡單檢測Heartbleed的工具,
只要輸入網址便能快速幫你掃瞄目標,就算看了未必曉得怎麼改善,
但若發現常用的服務供應商還未修復,那麼寫封信提醒一下,也算是對自己的保護 ww

(以下內容整理與引述自iThome)
1. Heartbleed test
".....義大利資安專家Filippo Valsorda (@FiloSottile)率先開發出來的Heartbleed檢測工具,
以模擬OpenSSL Heartbleed漏洞的入侵方法,開發出來的檢測工具。
只要輸入網站的網址,便可以測試網站是否受Heartbleed漏洞影響....."
個人以百度雲測試,結果如下:

"All good, yun.baidu.com seems fixed or unaffected!"

2. Possible.lv Heartbleed test
".....由資安公司Possible.lv開發的Heartbleed檢測工具,
只要輸入網址便可以測試網站是否受Heartbleed漏洞影響....."
同樣以百度雲測試,結果如下:

"Looking for TLS extensions on https://yun.baidu.com
TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected."

3. LastPass Heartbleed Checker
".....由密碼管理工具廠商LastPass開發的檢測工具,
只要輸入網址便可以測試網站是否受Heartbleed漏洞影響....."
再次用
百度雲測試,結果如下:

"Was vulnerable:Possibly (might use OpenSSL, but we can't tell)
SSL Certificate:Possibly Unsafe (created 8 months ago at Aug 26 00:00:00 2013 GMT)"

4. Qualys SSL Labs Server Test
".....由Qualys SSL LABS提供的SSL測試,不僅可以測試伺服器是否受Heartbleed漏洞影響,
還可以為伺服器的加密安全性評等....."
還是用百度雲:

"This server is not vulnerable to the Heartbleed attack. (Experimental)"

5. Chrombleed
".....Chromebleed是Google Chrome瀏覽器的擴充功能,只要安裝之後,
在每一次瀏覽網頁時,便會主動彈跳出網頁是否受Heartbleed漏洞影響的訊息....."
這款Add-on個人沒打算安裝,就省略嘗試了.
但上面的Chrombleed不提,其他各家網站的檢查結果似乎有些差異,
同一個網站大多認為安全,卻也有不一定的,這是一個漏洞、各自表述嗎.....
不過畢竟也只是看心安,倘若沒能曉得該相信那一個,
那麼花點時間把每家都試過一遍,應該就是最為保險的方式了 ww


4/18增補─
網站是否有受到影響還能用上面的工具查詢,但軟硬體方面又怎麼知道呢?
有鑑於此,iThome於"IT產品Heartbleed災情大清查"一文中,已經將列表整理出來了!

(以下內容引述自iThome)
.....作業系統產品受災清單
●    Android:目前僅發現4.1.1版受影響,Google已釋出修補版本,但仍由各手機業者自行決定釋出更新的時程。
●    Red Hat RHEL:6.5以後版本和RHEL 7測試版受到影響,官方已釋出更新,但6.4以前版本不受影響。
●    CentOS:6.5版受影響,官方已釋出更新。
●    Debian:穩定的Wheezy版本和測試中的Jessie版本均受影響,Squeezex舊版則不受影響,官方已釋出更新。
●    Fedora:19和20版受影響,官方已釋出更新。
●    FreeBSD:8~10.0版均受到影響,官方已釋出更新。
●    openSUSE:12.2版受影響,官方已釋出更新。
●    Oracle Linux:6受影響,甲骨文已釋出更新。
●    Solaris:11.1版和更早版本不受影響,特定11.2版本受影響,可聯繫Oracle尋求更新。
●    Ubuntu:受影響版本包括了12.04LTS版、12.10版和13.10版,官方已釋出更新。
●    DragonFlyBSD:3.6.1版受影響,已釋出更新。
●    NetBSD:6版受影響,已釋出更新。
●    其他受影響的Linux或BSD套件:Slackware 14.0、14.1和現行版本、Scientific Linux 6.5、
Gentoo Linux。多已釋出更新。

●    不受影響的作業系統產品:Windows Server(包括2003、2003 R2、2008、2008 R2、2012、
2012 R2)、OSX、iOS
.....
.....網站伺服器產品受災清單
●    Apache HTTP Server:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的Apache網站伺服器都需更新。
OpenSSL已釋出修補程式。

●    Nginx:可能受到影響。凡使用了OpenSSL 1.0.1到1.0.1f受影響版本的Nginx網站伺服器都需更新。
OpenSSL已釋出修補程式。

●    不受影響的網站伺服器產品:微軟IIS、IBM WebSphere.....
.....
.....資安產品受災清單
●    McAfee:多款產品受影響,例如ePolicy Orchestrator、Next Generation Firewall (Stonesoft)、
McAfee Firewall Enterprise、McAfee SIEM、McAfee Email Gateway、McAfee Web Gateway等。
已提供更新方式,完整清單和更新方式請參考官網。
●    Symantec:受影響產品包括SEPM 12.1 RU2到12.1 RU4 MP1。官方網站也提供初步應急處理方式。
●    F- Secure:受影響企業產品包括F-Secure Server Security、E-mail和Server Security 10.x到11版、
PSB Server Security/Email Server Security 10.00版、F-Secure Messaging Secure Gateway 7.5、
Protection Service for Email 7.5。官方已提供更新或因應方式。
●    Splunk:受影響產品包括了6.0.0、6.0.1、6.0.2版。官方已提供更新。
●    Kaspersky:受影響產品包括Kaspersky Security Center 10 Maintenance Release 1(10.1.249版)
和Kaspersky Security Center 10(10.0.3361版),官方已提供更新。
●    不受影響產品:趨勢科技資安產品.....
.....

iThome的報導也提及了虛擬化產品、資料庫產品、網路通訊及安全產品,
如需完整資訊,還請前往原文查詢 ww

, , ,

typecurry 發表在 痞客邦 PIXNET 留言(0) 人氣()