clickheretovieweDMonline.PDFVIP

click here to view eDM online Apr 2014, No.240 解決方案 | 服務 | 聯絡我們 | 前期電子報 長久以來，web 服務幾乎已成為企業提供服務的不二選擇，舉凡公司對外網 最新刊物 站、員工入口網、網頁郵件服務、會員網站、網路購物、網路銀行等，無不使 用web 服務讓使用者能隨時以電腦、平板或手機方便地上網。為了使用 web 服務傳送機敏資料例如信用卡資訊，幾乎所有網站都使用 SSL 的保護機制。 由於網站 SSL 使用的廣泛，一旦大家廣為採用的 SSL 應用程式套件出現漏 洞，其影響所及的範圍是難以想像的。 企業行動力電子書 – 成功的架構 甚麼是Heartbleed 漏洞 架設網站如需使用SSL 機制時，通常使用web 伺服器內建的SSL 功能或是使 最新白皮書 用SSL 程式庫套件等，而OpenSSL 就是一種被廣為採用的開源碼SSL 程式 庫。OpenSSL 採用了Heartbeat 的技術來確認SSL 兩端的電腦都在線上。但 很不幸地，OpenSSL 並沒有處理好Heartbeat Extension 網路封包的控管，導 致攻擊者可從遠端傳送特製的Heartbeat 封包，故意造成對方電腦的記憶體緩 衝區 buffer over-read ，讓對方電腦將記憶體中的訊息一併傳回攻擊端。如果 完全自動化的端到端解決方案， 記憶體中含有加密金鑰、信用卡資訊等機敏資料，這些資料就可能被竊取而且 協助客戶增進員工生產力 難以被發現。 依據 OpenSSL 官網的公告，受影響的 OpenSSL 版本包含 1.0.1,1.0.1f, 1.0.2-beta 以及1.0.2-beta1。也許是這次的漏洞影 響範圍太大，因此網路上也罕見地針對此漏洞設計出logo ：意 味著您的資料就像是內心淌血一樣正在逐漸流失。 推薦2 位不在電子報寄送名單之 Heartbleed 漏洞的因應之道 同事加入贈閱，立即擁有精美贈 既然Heartbleed 本身是OpenSSL 程式庫的漏洞，因此最根本的解決方法還是 品!! (限量5 名) 得從漏洞本身的修補做起。OpenSSL 已在官網上釋出OpenSSL 1.0.1g 版本 來修補此問題；若是使用 1.0.2-beta 的版本，則須等待1.0.2-beta2 版本的釋 出。若是無法立即升級到 OpenSSL 1.0.1g 版本的用戶，也可利用 -DOPENSSL_NO_HEARTBEATS 的參數重新編譯(compile) OpenSSL 。 修補漏洞應是最根本的解決方式，但問題來了，OpenSSL 是個程式庫，到底 有哪些系統或應用程式使用了OpenSSL 的程式庫呢？比較快的方式當然是執 行弱點掃瞄，針對企業內所有提供網頁服務的伺服器或是設備進行檢測，找出 YES! 我對本期解決方案有 弱點所在，才能進一步擬定後續的修補或是升級計畫。完整的APM 解決方案 興趣，請派員與我聯繫！ 至少需提供下列三項監控分析服務，方能提供企業分析及改進應用程式服務的 諮詢熱線：0800-808-118 效能、可用性和生產效率。 圖一：岱凱提供完整的安全評估服務，協助您保護資料資產 系統、應用程式甚至是通訊協定本身都有可能不斷地被發掘出漏洞，因此系統 弱點的檢測與評