基於AG8亚游技術的雲安全服務商

新聞中心

當前位置:首頁 > 新聞中心 > 行業動態

OpenSSL Heartbleed漏洞解決方案

來源: | 瀏覽:0 | 時間:2014-10-15 15:55:58

2014年47OpenSSL發布了安全公告,在OpenSSL 1.0.1版本中存在 HeartbleedCVE-2014-0160)嚴重漏洞,該漏洞導致攻擊者可以通過TLS(主要受影響的是提供HTTPS單向認證的服務器)每次遠程讀取存在漏洞版本的OpenSSL服務器內存中多達64K的數據,可能會泄露內存內的敏感數據,甚至有可能會泄露服務器私鑰,所帶來的直接影響和後續影響是不可估量的。

 

影響版本範圍:1.0.1 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1

已修複版本:1.0.1g / 1.0.2-beta2

OpenSSL 的公告如下:https://www.openssl.org/news/secadv_20140407.txt

 

建議的修複方案:

1、升級OpenSSL1.0.1g / 1.0.2-beta2或更新版本。

2、如果私鑰沒有采用安全可靠硬件保護,私鑰可能存在泄露的風險,則需要注銷原服務器證書,重新申請新的服務器證書。

3、使用安全可靠地AG8亚游硬件保護服務器私鑰,在Web服務器後端部署AG8亚游機保護服務器私鑰(Web服務器安全增強方案:/html/2014/1031/84.html),或前端部署具有安全硬件保護密鑰模塊的SSL VPN產品處理SSL/TLS通信協議。

4、開啟SSL/TLS雙向身份認證,可降低安全風險。

5、使用具有相應防護能力的Web應用防火牆。

北京三未信安科技發展有限公司

2014年4

 

網站地圖:sitemap
网站地图:sitemap