OpenSSL在去年4月發布Heartbleed漏洞,當時被視為網路有史以來最嚴重的臭蟲,允許駭客取得系統上的SSL/TLS金鑰與數位憑證,可造成無從估計的損害。網路安全業者Venafi在本周公布了Heartbleed漏洞的周年報告,顯示在全球前2000大企業中,其面向公眾的系統仍有74%沒有完全修補好該漏洞。

OpenSSL是相當受歡迎的網路加密軟體函式庫,網路上SSL/TLS加密傳輸建置的開放源碼套件。受到Heartbleed漏洞影響的版本涵蓋自2011年12月的1.0.1到2014年1月的1.0.1f等7個版本,該漏洞允許駭客存取應受到保護的系統記憶體,進而取得伺服器金鑰、數位憑證,或其他內容。

Venafi表示,企業在該漏洞爆發後積極搶修系統,根據去年八月的調查,全球2000大企業中有76%面向公眾的系統仍受到Heartbleed漏洞的影響,原本以為今年會大幅改善,沒想到調查顯示,2015年4月這個數字仍高達74%。

更令人驚訝的是,這一年來被解決的Heartbleed漏洞並不是來自於針對該漏洞的修補行動,而是因為企業因憑證過期而置換系統的私鑰與憑證。

事實上,要完全修補Heartbleed漏洞並不難,只要確實執行4個步驟即可,包括採用新版OpenSSL、產生新的金鑰、發行與安裝新的憑證,以及撤銷舊憑證。

Venafi認為,企業沒有認真修補Heartbleed漏洞的主要原因是輕忽它的嚴重性,因而沒有置換私有金鑰,也沒有撤銷舊的憑證,代表企業並不了解一旦這些數據外洩,所有的機密資訊都會外洩。

該報告所調查的只有6個國家的2000大企業,涵蓋美國、德國、英國、荷蘭、法國與澳洲,其中,Heartbleed漏洞修補成效最佳的德國與美國也分別還有58%及59%的企業系統含有該漏洞,而且諸如IBM、Juniper及Cisco等知名科技業者也都尚未完全免疫

Venafi呼籲企業應正視此一問題並在未造成傷害前完全根除Heartbleed漏洞可能造成的影響。(編譯/陳曉莉)

熱門新聞

Advertisement