心脏出血漏洞

来自Qno Wiki
跳转到: 导航搜索

目录

原因

心脏出血漏洞(英语:Heartbleed bug),也简称为心血漏洞,是一个出现在开源加密库OpenSSL的程序错误,可允许攻击者读取服务器或客户端的内存信息,从而获得如服务器SSL私钥之类的信息。当用户使用 SSL/https 方式与加密的网站建立会话时,对端计算机需要了解另一端的计算机是否仍然在线,所以他们会发出一个被称为“心脏跳动”(Heartbeat) 的小型数据包,请求对方响应,如果另一端计算机也在线,他们就会使用内存中储存的信息做出响应。通过向存在漏洞的目标发送畸形的Heartbeat请求,攻击者能够诱使对方使用内存中的敏感数据作出回应,从而获得计算机/服务器上私有的信息。此漏洞已确认为 CVE-2014-0160。

受影响的 OpenSSL 版本

  • OpenSSL 1.0.2-beta
  • OpenSSL 1.0.1 - OpenSSL 1.0.1f

Qno侠诺产品不受事件影响

Qno所有产品没有使用过有问题的代码,以下型号有提供 SSL 功能或 SSL 访问管理介面,用户不需要采取任何措施,请安心使用!

  • 共享:GQF370/470、GQF630、GQF650、GQF1150、GQF1450、GQF9110、SQF9109、GQF1100
  • VPN 功能:SVM8636、QVM280w,QVM570、QVM620、SVM8025,QVM290,QVM2050,QVM2000、SVR9518
  • SSL 功能:SSL006、SSL005、SSL003、SSL001、SSL002、SVM9201、SVM9202、SVM9203、SVM9210、SVM9230

以上型号(也包括已停产的型号)都不受此次事件影响,请放心!


检测工具

检测你的SSL产品否受影响,一般建议你向注重信誉的安全厂商提交你的网址作检测,除非一旦检测有问题你可以马上断开网络连接,否则不建议你向不知名的网站提交信息!以下列出几个供参考:

测试脚本

由 Rehmann 提供的 Python脚本如果测试没有问题会返回以下的提示:

  • Server returned error, likely not vulnerable
  • No heartbeat response received, server likely not vulnerable

联系我们

如果你仍然不放心,请通过 www.qno.cn 点联络我们与工程师联系,谢谢!

个人工具
名字空间
操作
导航
分类
[×] AP/AC
[×] DHCP
[×] GRE
Log
[×] NetBase
QoS
[×] QTV
[×] QWH
[×] Switch
USB
VPN
工具箱