發佈編號TACERT-ANA-2014041109045353 發佈時間2014-04-11 21:41:00

事故類型ANA-漏洞預警發現時間2014-04-09 00:00:00

影響等級高

[主旨說明:]OpenSSL存在高風險CVE-2014-0160漏洞

[內容說明:]

轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0006

OpenSSL存在高風險漏洞 (漏洞編號：CVE-2014-0160)，漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關，因此漏洞又被稱為heartbleed漏洞，將造成記憶體內容外洩風險。

攻擊者利用該漏洞無需通過權限或身分驗證，即可讀取伺服器記憶體，竊取x.509加密金鑰、使用者帳號密碼、cookies等，將可對 OpenSSL 保護的網路通信進行解密、偽冒或進行中間人攻擊，竊取e-mail、文件及通訊內容等機敏資訊。

煩請貴單位協助公告及轉發轄下單位，盡速依建議措施修補相關漏洞。

[影響平台:]

OpenSSL 1.0.1~1.0.1f版本、

OpenSSL 1.0.2-beta~1.0.2-beta1版本

影響系統版本：安裝有弱點版本OpenSSL的任意作業系統

[建議措施:]

1.安裝有OpenSSL的主機可於登入後執行 openssl version指令確認使用OpenSSL版本是否為受影響版本。

2.OpenSSL已釋出相關修補程式：

OpenSSL 版本 1.0.1系列 - 更新至版本1.0.1g。

OpenSSL 版本 1.0.2-beta1 - 更新至版本1.0.2-beta2。(截至4/11官網尚未釋出，請再注意官網更新)

修補程式詳見：https://www.openssl.org/source/

[參考資料:]

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

https://www.openssl.org/news/secadv_20140407.txt

http://heartbleed.com/

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

http://www.securityfocus.com/bid/66690/info

如果您對此通告的內容有疑問或有關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)

地 址： 台北市富陽街116號

聯絡電話： 02-27339922

傳真電話： 02-27331655

電子郵件信箱： service@icst.org.tw