＜必看＞OpenSSL重大漏洞Heartbleed來襲，請大家留意!!

    SANS資安專家：小心HeartBleed威脅無所不在！  

    OpenSSL爆出HeartBleed重大漏洞，為全球網路帶來重大威脅，被視為是網路有史以來最嚴重的漏洞。它的影響層面到底有多大目前還難以估計，但目前可知的是：受影響的絕不只有網路上的伺服器，這個漏洞可能存在於各種的網路設備與終端裝置，包括PC，甚至連Android手機都難以幸免。

為確保使用者資料安全，計資中心在此提醒網路管理者依下面幾點確實做好防範措施!!
 

1. 甚麼是OpenSSL Bleeding
   • OpenSSL Bleeding是SSL協定某些版本(影響版本包括1.0.1 至 1.0.1f / 1.0.2-beta ~ 1.0.2-beta1)的漏洞。
   • 攻擊者可以藉由此漏洞從伺服器記憶體中讀取 64 KB的資料，藉由擷取記憶體中可能存在的機敏資料。
2. OpenSSL Bleeding可能造成的危害
   • 攻擊者可藉由竊取來的資料，獲得使用者的帳號密碼、及原本由加密傳輸所保護的資料。
   • 假冒使用者身份，進行各種服務。例如存取email內容、金融交易資料、信用卡資料等。
3. 對網站管理者的建議
   • 確認OpenSSL 版本是否受影響，檢查方法(二擇一)

     A.於 Apache 安裝目錄下，尋找檔名 “OPENSSL-README.txt”，其內文為 OpenSSL 版本資訊。
     B.使用Linux_Like作業系統者可使用控制命令列 (Shell Prompt)，於 Apache 或 OpenSSL 安裝目錄下之bin目錄，執行指令： openssl version  即可查詢現有 OpenSSL 之版本資訊。

   • 若OpenSSL版本名列受影響清單，進行版本升級：

     A.利用系統升級指令(ex. apt-get 或 yum)進行OpenSSL版本升級。
     或，
     B.OpenSSL官方網站下載 OpenSSL 1.0.1g以上版本(tarball)手動升級。

   • 自我檢測網站是否已完成修復
     您可使用以下網站服務，進行漏洞檢測作業。

     A.Heartbleed test http://filippo.io/Heartbleed/
     B.LastPass Heartbleed Checker http://lastpass.com/heartbleed/

4. 對網站瀏覽者的建議
   一般使用者是無法解決heartbeat漏洞問題的，因為這並不是使用者的電腦或裝置問題，而是網站或網路服務的問題，但是為了避免造成你的資料外洩，你可以採取以下自我保護措施：
   • 保持警覺，了解瀏覽有heartbeat漏洞問題的網站，自己的資料可能會外洩。
   • 若服務供應商要求你變更密碼，請依照建議執行。
   • 觀察自己的帳號是否有可疑的活動，主動變更像是電子郵件或金融服務等重要服務的密碼。
   • 使用最新的防毒軟體。
   • 不要存取不明網站，尤其網址是https://開頭的網站。
5. 問題諮詢
   • 計資中心 資訊網路組，電話校內分機306轉735、734、747、761、739。
6. 參考網站
   • SANS資安專家：小心HeartBleed威脅無所不在！ | iThome
   • OpenSSL重大漏洞Heartbleed 全球網路加密傳輸安全拉警報 | iThome
   • OpenSSL的Heartbleed漏洞，資安業者給企業與消費者的建議 | iThome
   • Heartbleed Bug Poses Serious Threat to Unpatched Servers | Symantec Connect Community
   • 立即止血！Heartbleed漏洞DIY檢測工具總整理 | iThome