针对OpenSSL Heartbleed 漏洞修复紧急通知

尊敬的天威诚信 SSL 证书用户：

您好

 

OpenSSL官方网站4月7日发布公告，有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞（编号为CVE-2014-0160），可能暴露私密通信，建议您第一时间尽快修补。

天威诚信提醒您，我们提供 Symantec 全品牌、全线 SSL证书产品本身是非常安全的。我们发布的紧急安全通知并不是针对SSL证书产品的漏洞通知。

此次发布的 Heartbleed 漏洞是基于 OpenSSL 特定版本的一个高危漏洞。如果您有使用我们的 SSL证书产品，部署任何基于漏洞版本的 OpenSSL的 https 站点，都存在被攻击的可能性。

如果您的 Web Server 程序不是基于 OpenSSL 加密程序库来实现的 https 服务，则您完全可忽略我们的这封邮件提醒。安心享受天威诚信 Symantec SSL证书产品给您带来的高强度安全通讯环境。

 

在此之前，我们仍然需要郑重提醒您尽快确认您公司服务器上是否安装了OpenSSL，且是否正在使用 OpenSSL的加密程序库来实现 https 的加密传输应用。一旦确认服务器上有上述应用，请第一时间确认 OpenSSL 版本，了解自己的服务器是否受到该漏洞影响。排查服务器上可能存在的 OpenSSL Heartbleed 漏洞风险。

 

要查询您网站服务器上的 OpenSSL 版本信息，命令行进入 openssl 安装目录下的 bin 目录，运行如下命令：

示例：

openssl version

OpenSSL 0.9.8d 28 Sep 2006 ## 返回 OpenSSL 版本信息

目前受影响的 OpenSSl 版本信息：

OpenSSL 1.0.1 到 1.0.1f (包含) 受此漏洞影响

OpenSSL 1.0.2 Beta1 受此漏洞影响

不受此漏洞影响的 OpenSSL版本信息：

OpenSSL 1.0.1g 已修复该漏洞

OpenSSL 1.0.0 分支版本不受此漏洞影响

OpenSSL 0.9.8 分支版本不受此漏洞影响

OpenSSL 1.0.2 Beta2 不受此漏洞影响。 1.0.2目前只有 beta版，不推荐使用该版本。

推荐您在发现受此漏洞影响之后，第一时间下载不受该漏洞影响的 OpenSSL 版本安装。在完成OpenSSL 升级或降级后重启服务，然后可以通过一些漏洞检测网站检查是否已完成漏洞的修复工作。

针对 Heartbleed 的漏洞检测站点：http://filippo.io/Heartbleed/

具体应对措施：

如果您使用的是 IIS、Tomcat、Weblogic、Jboss、Sun One Web Server 等 Web Server，请忽略该漏洞提醒通知。非基于 OpenSSL加密程序库实现的 https 服务不受此漏洞影响。

 

如果您使用的是 Windows 版本的 Apache：请命令行进入 Apache 安装路径下的 bin 目录，运行 openssl version ，确认您所使用的 Apache with ssl Win32 集成的 openssl 库版本信息。

如果您使用的是 Windows 版本的 Nginx：请命令行下进入 Nginx.exe 文件所在目录，运行：

nginx -V

–with-openssl=objs.msvc8/lib/openssl-0.9.8t ## 示例中，返回结果信息筛选关键数据，确认 OpenSSL 版本信息为 openssl-0.9.8t

如果您使用的 Windows 版本 Apache 或 OpenSSL 受到此漏洞影响，请尽快登陆 Apache、Nginx 官方网站，更新您的 Web Server 版本到未受影响版本。

如果您使用 Linux/Unix 操作系统：命令行进入 openssl 安装目录下的 bin 目录，运行 openssl version，确认您服务器中安装的 openssl 版本信息。如确认需要版本更新，在更新 OpenSSL 版本后，还需要重新编译 Web Server（Apache、Nginx、Squid等） 程序中的 SSL 模块，在更新 SSL模块之后重启服务。

如果您使用的是 IBM Http Server：在IBM Http Server上使用SSL证书，需要使用mod_ibm_ssl的SSL模块，该模块是有IBM GlobalSecurity Toolkit（GSKit）提供的。并且IHS不允许使用 OpenSSL 的mod_ssl 模块。因此IBM Http Server不受此漏洞影响。

部分Linux/Unix操作系统发行包中，包含了含有漏洞的OpenSSL版本。

相关版本信息：

 

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4

Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11

CentOS 6.5, OpenSSL 1.0.1e-15

Fedora 18, OpenSSL 1.0.1e-4

OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)

FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013

NetBSD 5.0.2 (OpenSSL 1.0.1e)

OpenSUSE 12.2 (OpenSSL 1.0.1c)

 

 

部分未受此漏洞影响的操作系统发行包：

 

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14

SUSE Linux Enterprise Server

FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013

FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013

FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

 

其他基于 OpenSSL 的SSL Lib开发的 Server 程序，也应尽快自查 OpenSSL 版本，并尽快更新代码，避免遭受漏洞攻击。

如果您在漏洞修复过程中遇到问题，请随时联系我们技术支持人员为您提供技术指导。

谢谢。