圖片引用來源:HeartBleed OpenSSL 漏洞說明網頁;原文引用來源:CNET(思科、蘋果)、The Verge(HeartBleed 來由)
「心在淌血」(HeartBleed)這個 OpenSSL 加密軟體當中的漏洞,這幾天可說是讓網路服務提供者相當忙碌,而稍早又有最新的進展。
思科(Cisco Systems)與 Juniper 這兩家網通設備供應商分別對外公開,他們家有部份產品也受到該漏洞影響;思科方面表示,該漏洞可能造成旗下十一項硬體產品及兩項服務遭受攻擊,另外還有超過六十項產品服務可能受到影響,目前仍在持續調查中;目前確認受影響的思科產品為 IP 電話及通訊伺服器,服務部份則包括「思科註冊封包服務」(Registered Envelope Service,CRES)及 Webex Messenger Service,思科則表示目前都已經完成修補。
另外 Juniper 方面也列出數件可能遭受攻擊的產品服務,主要是以 Junos OS 13.3R1 及 Odyssey client 5.6r5 或更新版本為基礎的產品;同時 CNET 在與蘋果聯繫後,蘋果方面表示他們的網站及相關服務都沒有問題,硬體產品也從未使用有問題的 OpenSSL 產品。
而根據 The Verge 引述《紐約時報》報導,這次嚴重漏洞發生的主因,是一位德國軟體開發者 Robin Seggelmann 在 2011 年跨年夜加了一段有問題的程式碼到 OpenSSL 當中,後續的檢查也一直沒有發現該問題。而這樣「細微的小錯誤」,讓 Seggelmann 飽受責難,甚至有人控訴他故意犯錯,不過他本人則是堅決否認,他表示他當初參與 OpenSSL 開發,純粹是為了協助解決裡頭的一些問題並讓 OpenSSL 更完善,而不是製造更多問題,只能說這真的是無心差柳柳橙汁...
以下的表格為 CNET 方面以雲端 SSL 測試服務得到的當前全美主要網路服務受影響狀況,以及各大網路服務對相關問題的回應。
相關閱讀:
- 「心在淌血」(HeartBleed)OpenSSL 漏洞全美主要網路服務處理現況...
- 最新 OpenSSL 漏洞讓網路服務商「內心淌血」...
- 蘋果 SSL 漏洞影響範圍比想像中大,Mac OS X Mavericks 亦需注意…
- 蘋果釋出安全性更新 Security Update 2014-001,建議使用者立即服用
- 激萌五歲正太玩出 Xbox Live 登入程序漏洞,並被微軟表彰為安全研究人員
延伸閱讀:
