全球OpenSSL漏洞風暴吹到臺灣,臺灣開始有企業展開因應,例如主機代管業者戰國策已完成Linux主機的OpenSSL升級修補工作,聯合信用卡處理中心也針對少數OpenSSL應用展開修補工作。臺灣Yahoo奇摩則表示,臺灣依全球總部政策因應。雅虎全球已發布公告,該公司團隊已對雅虎的主要屬性成功進行適當的修正。
戰國策網路工程部主管林尚仁表示,目前戰國策的主機採用Linux第三代架構,當4月8日接到OpenSSL含有加密傳輸漏洞,已經於禮拜三檢查所有具有漏洞的主機,且當天已使用OpenSSL 1.0.1g版本修補該漏洞。
聯合信用卡處理中心資訊服務部資深協理王曉蕙則表示,聯合信用卡處理中心的核心系統並非使用開源軟體,只有少部分應用使用了OpenSSL,所以,影響不大。該中心已指派負責資安的小組著手研究漏洞細節,並已調整需要修補的相關程式或系統。
另有金融業者認為,因為金融業的加密機制大多採用非開源的加密方式,或是再搭配內容亂碼化的方式來保護資料,OpenSSL對金融證券業的影響並不大。如永豐金證券和板信商業銀行均表示,沒有採用OpenSSL而不受影響。
國家高速網路與計算中心助理工程師李柏毅表示,全臺灣約二分之一以上的網站都會有漏洞,只要運用OpenSSL這模組的網站都會受到影響,主要影響到使用https服務的網站,包含運用使用者認證機制和線上交易等網站。
已出現自動化攻擊工具
另外,李柏毅表示,以前大部分的人都不知道這個漏洞,當Google安全部門人員發現此漏洞後,已經有駭客開發出來專門的攻擊程式,針對OpenSSL這個漏洞進行攻擊和截取資料,影響範圍又更大,所以建議企業要盡快更新OpenSSL 1.0.1g。
就個人自保方面,李柏毅表示,因為這次是加密協定的問題,所以就算改密碼也無法避免個人資料外洩,唯一的方式就是暫停使用線上交易服務。
OpenSSL網站於4月8日,發布緊急安全修補公告,公布OpenSSL中一個可能潛伏長達2年之久的重大安全漏洞。該漏洞早在2011年就已經被導入,直到最近才被芬蘭網路安全公司Codenomicon的及Google安全部門的Neel Mehta發現。駭客可利用此網路安全漏洞「Heartbleed」竊取使用者資訊。
Heartbleed臭蟲可以讓網路上任何人讀取到由OpenSSL防護的系統記憶體,進而取得服務供應商或加密網路流量的金鑰,與使用者的帳號與密碼。攻擊者可藉此竊取服務或身份驗證內容,並且假冒服務或使用者身份。
OpenSSL加密傳輸漏洞影響遍及各種作業系統,全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。另外,許多大型網路公司,如Google、Yahoo、Facebook等,都使用SSL預設對其網路服務進行加密。
受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的Linux作業系統受到影響,包括Debian Wheezy,Ubuntu 12.04.4 LTS,CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19