“心脏出血”漏洞是OpenSSL中的一个漏洞,可以让攻击者窃听网络、电子邮件和一些VPN通信。这个漏洞不仅可以在使用它的服务器上发现,也可以在思科(Cisco)和瞻博网络(Juniper Networks)的网络设备上发现。这两家供应商都表示,他们仍在调查“心脏出血”对其产品的影响,并预计会滚动更新建议。
Juniper在两份报告中详细列出了一份长长的清单在这里和其他在这里。思科公司(Cisco)也采取了类似的方式咨询。
思科发言人Nigel Glennie解释说,思科工程师正在评估哪些产品使用了有缺陷的OpenSSL版本,可能需要一个补丁,虽然不是所有产品都需要。这是因为思科认为这是OpenSSL的一个特殊特性,它是“心脏出血”漏洞的核心,并不是所有产品都能打开它。
+更多关于网络世界足球竞猜app软件:谁应该为“灾难性的”心脏出血病毒负责?|思科关于“心脏出血”漏洞对产品的影响的咨询|Juniper对“心脏出血”漏洞提出建议+
到目前为止,思科已经列出了一份清单,其中约12种产品被确认为“容易受到”基于“心脏出血”漏洞的攻击,以及另外一份清单,其中60多种产品被认为“受影响”,因为OpenSSL,但仍在调查中。大约有24种产品已被确认为“不存在漏洞”,还有名为Cisco Meraki Dashboard的托管服务。思科还表示,其Webex服务容易受到“心脏出血”漏洞的攻击,但已经得到修复。
这份由思科公司列出的长名单随时可能发生变化和更新,虽然可能随时发生变化,但没有特定的软件安全更新可用。尽管开源OpenSSL小组已经发布了软件更新来修补“心脏出血”漏洞,思科指出,思科产品的适当程序依赖于思科的评估和直接来自思科的补丁更新。
心脏出血是一个脆弱性由于最近谷歌和Codenomicon安全研究人员发现了一个简单的编码错误,这个错误在OpenSSL中似乎存在了两年左右。
格尼指出,当OpenSSL网站公开有关信息时,思科和其他人一样发现了“心脏出血”漏洞。心脏出血导致思科工程师正在进行大量的工作,以确定它对思科设备的影响。
包括加密专家Bruce Schneier在内的一些安全专家称,“心脏出血”漏洞是一个“灾难性”的漏洞,因为精明的攻击者可以利用易受攻击的OpenSSL版本来窃听密码或窃取加密证书和密钥。不过,思科表示,目前就思科产品而言,它给“心脏出血”的严重程度打了中等分,并指出,在某些情况下,基于OpenSSL在思科产品中使用的特定易受攻击版本,“心脏出血”的严重程度可能会上升。
主要的思科产品现在显然评为“脆弱”思科iOS AnyConnect安全的移动客户端,思科iOS XE,思科UCS b系列(叶片)服务器,思科UCS c系列(独立机架服务器),思科统一通信管理器10.0,思科桌面DX650协作经验,思科网真视频通信服务器和三个版本的思科IP电话。
但一些思科IP电话已经被确定不会受到攻击。许多其他思科产品也不存在漏洞,包括思科无线局域网控制器、思科网络安全设备、思科内容管理设备、思科电子邮件安全设备。
正在调查的还有思科IOS、思科身份服务引擎、思科安全访问控制服务器、思科云网络安全、以及思科催化剂6500系列和思科7600系列防火墙服务模块等几十个。思科将根据已知的漏洞确定,不断更新这些列表,并在未来建议对“心脏出血”进行任何修复。
Juniper没有提供发言人来讨论Heartbleed,但发布了一份声明称:“Juniper网络安全事件响应团队(SIRT)已经意识到OpenSSL漏洞对行业的影响,并正在夜以继日地修复一些Juniper产品的潜在风险。”
Juniper指出,他们已经发布了一份报告,其中列出了一些易受攻击的产品,包括基于Junos OS 13.3R1和Odyssey客户端5.6r5及以后版本的产品。同样容易出现Heartbleed漏洞的还有Juniper SSL VPN (IVEOS) 7.4r1和SSL VPN (IVEOS) 8.0r1和更高版本。有些产品被列为“固定”产品。
被列为“不受攻击”的产品包括Junos OS 13.2和更早的、不受攻击的非fips网络连接客户端版本,以及SSL VPN (IVEOS) 7.3、7.2和7.1。其他一些网络和安全产品也被列为“不容易受到攻击”。Juniper的其他产品也在调查中,包括Stand Alone IDP、ADC和wl系列(SmartPass)。
据移动安全供应商Lookout security称,除了广泛的网络设备受到“心脏出血”漏洞的影响外,一些版本的Android操作系统似乎也受到“心脏出血”的影响。
Lookout的首席安全研究员马克·罗杰斯表示,到目前为止,该安全公司已经确定,谷歌Android的脆弱版本仅包括4.1.1和4.2.2版本。Lookout表示,当前版本的Android 4.5没有受到影响,可能是因为导致OpenSSL中所有心脏出血混乱的功能没有启用。Lookout开发了一种工具,可以让移动设备用户测试心脏出血的易损性。
Lookout表示,该公司无法提供针对心脏出血的Android修复方案,但应该由Android开源项目提供,基于Android的手机制造商将有望提供该方案。罗杰斯总结说,由于Android本身已经变得如此分散,所以很难给出一个受影响的Android移动设备的明确名单。
Ellen Messmer是IDG网站Network World的高足球竞猜app软件级编辑,她在该网站上报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com