「心在淌血」(HeartBleed)影響部份 Cisco、Juniper 設備,另外蘋果方面說一切無礙...

「心在淌血」(HeartBleed)影響部份 Cisco、Juniper 設備,另外蘋果方面說一切無礙...

圖片引用來源HeartBleed OpenSSL 漏洞說明網頁原文引用來源:CNET(思科蘋果)、The Verge(HeartBleed 來由

「心在淌血」(HeartBleed)這個 OpenSSL 加密軟體當中的漏洞,這幾天可說是讓網路服務提供者相當忙碌,而稍早又有最新的進展。

思科(Cisco Systems)與 Juniper 這兩家網通設備供應商分別對外公開,他們家有部份產品也受到該漏洞影響;思科方面表示,該漏洞可能造成旗下十一項硬體產品及兩項服務遭受攻擊,另外還有超過六十項產品服務可能受到影響,目前仍在持續調查中;目前確認受影響的思科產品為 IP 電話及通訊伺服器,服務部份則包括「思科註冊封包服務」(Registered Envelope Service,CRES)及 Webex Messenger Service,思科則表示目前都已經完成修補。

另外 Juniper 方面也列出數件可能遭受攻擊的產品服務,主要是以 Junos OS 13.3R1 及 Odyssey client 5.6r5 或更新版本為基礎的產品;同時 CNET 在與蘋果聯繫後,蘋果方面表示他們的網站及相關服務都沒有問題,硬體產品也從未使用有問題的 OpenSSL 產品。

而根據 The Verge 引述《紐約時報》報導,這次嚴重漏洞發生的主因,是一位德國軟體開發者 Robin Seggelmann 在 2011 年跨年夜加了一段有問題的程式碼到 OpenSSL 當中,後續的檢查也一直沒有發現該問題。而這樣「細微的小錯誤」,讓 Seggelmann 飽受責難,甚至有人控訴他故意犯錯,不過他本人則是堅決否認,他表示他當初參與 OpenSSL 開發,純粹是為了協助解決裡頭的一些問題並讓 OpenSSL 更完善,而不是製造更多問題,只能說這真的是無心差柳柳橙汁...

以下的表格為 CNET 方面以雲端 SSL 測試服務得到的當前全美主要網路服務受影響狀況,以及各大網路服務對相關問題的回應。

相關閱讀

延伸閱讀