重要 OpenSSL 安全更新:CVE-2014-0160 (Heartbleed)
已发现 OpenSSL 在处理传输层安全(TLS)以及数据包传输层安全(DTLS)心跳协议报文(Heartbeat Extension packets)时有漏洞。这个漏洞通常是指 Heartbleed 错误。
恶意 TLS 或者 DTLS 客户端或者服务器能够发送精心制作的 TLS 或者 DTLS 心跳协议报文,从而公开来自连接的客户端或者服务器请求的受限制内存。注:内存公开的部分可能包含敏感信息,比如私钥。(CVE-2014-0160)
这个问题不会影响 Red Hat Enterprise Linux 5 和 Red Hat Enterprise Linux 6.4 以及更早版本中附带的 openssl 版本,但会影响提供 openssl 1.0.1e 的 Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5、Red Hat Enterprise Virtualization Hypervisor 6.5, 和 Red Hat Storage 2.1。
- 有关在 Red Hat Enterprise Linux 中处理这个漏洞的详情请查看 https://access.redhat.com/site/solutions/781793。
- 有关在 Red Hat Enterprise Virtualization Hypervisor 中处理这个漏洞的详情请查看 https://access.redhat.com/site/solutions/781843。
- 有关在 Red Hat Storage 中处理这个漏洞的详情请查看 https://access.redhat.com/site/solutions/782053。
更新系统后,您可以使用 [Red Hat's Heartbleed Detector](https://access.redhat.com/labs/heartbleed/)确认您系统的安全。红帽 强烈 建议客户更换有此漏洞系统的 SSL 密钥,因为另有来自安全研究团体的报告称在此类有漏洞的系统中有密钥被盗的情况发生。有关详情请查看 Recovering from the Heartbleed Vulnerability。
响应时间
红帽网页漏洞声明
2014 年 4 月 7 日,OpenSSL 项目发布更新以处理 CVE-2014-0160(也称 "Heartbleed")识别的漏洞。
红帽非常重视安全问题。以下传送客户数据的红帽网站在进行 SSL/TLS 沟通时不依赖易受攻击的 OpenSSL 库,因此未受到 "Heartbleed" 漏洞的影响:
- www.redhat.com
- access.redhat.com(红帽客户门户网站)
- rhn.redhat.com(红帽网络)
