网络

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 网络

Heartbleed漏洞影响很多思科和瞻博网络产品

作者:网界网出处:论坛2014-04-14 08:30

  Openssl中的Heartbleed漏洞能让攻击者窃听网络、电子邮件和一些VPN通信,这种漏洞不仅存在于服务器中,而且还存在于思科和瞻博网络的网络设备中。这两家供应商表示他们仍然在调查Heatbleed对其产品的影响。

  “我们将发布关于该漏洞的产品公告,”思科发言人Nigel Glennie表示,他解释说思科工程师正在评估哪些思科产品在使用有漏洞的OpenSSL版本,但并不是所有产品都存在这种漏洞。思科认为OpenSSL的特定功能是Heartbleed漏洞的核心,并且产品中的这个功能并没有总是开启。

  到目前为止,思科已经列出了十几个确认“易受攻击”的产品,还有被认为“受到影响”的60个产品,调查仍然在进行中。大约有几十个产品已经确认不会受到攻击,以及托管思科服务Cisco Meraki Dashboard。思科表示其Webex服务容易受到Heartbleed漏洞的攻击,但现在已经修复。

  思科的这些清单随时都会更改和更新,目前还没有提供可用的软件安全更新。虽然开源OpenSSL组已经发布了安全更新来修复Heatbleed漏洞,思科指出,针对思科产品的相应的更新还需要思科的评估和补丁更新。

  这个Heatbleed漏洞似乎已经存在于OpenSSL长达两年之久,最近谷歌和Codemomicon的安全研究人员根据简单的编码错误发现了这个漏洞。

  同时,思科也发现了这个Heartbleed漏洞。在发现该漏洞后,思科立即安排思科工程师确定Heartbleed对其设备的影响。

  一些安全专家(包括密码学专家Bruce Schneier)描述Heartbleed漏洞是“灾难性的”漏洞,因为OpenSSL中的漏洞可被精明的攻击者利用来窃取密码或加密证书和密钥。思科表示现在给Heartbleed的严重程度评为中等,并指出,根据OpenSSL在思科产品中应用方式,这种严重程度可能会提升。

  The main Cisco products now clearly evaluated as “vulnerable” are the.现在被评为“易受攻击”的思科主要产品包括:Cisco AnyConnect Secure Mobility Client(针对iOS)、Cisco IOS XE、 Cisco UCS B系列 (刀片)服务器、Cisco UCS C系列(单机机架式服务器)、Cisco统一通信管理器10.0、Cisco Desktop Collaboration Experience DX650、Cisco网真视频通信服务器以及三个版本的思科IP电话。

  但有些思科IP电话已经被确认为不易受到攻击。很多其他思科产品也不会受到影响,包括思科无线局域网控制器、思科网络安全设备、思科内容管理设备以及思科电子邮件安全设备。

  仍然在调查中的产品包括:思科IOS、思科身份服务引擎、思科安全访问控制服务器,思科云web安全、思科Catalyst 6500系列和思科7600系列防火墙服务器模块,以及几十款其他产品。思科还将继续更新这个列表。

  瞻博网络并没有安排一个发言人来讨论Heartbleed,但发表了一个声明,声称:“瞻博网络安全事件响应团队(SIRT)已经意识到OpenSSL漏洞正在影响整个行业,并正在努力解决对一些瞻博网络产品的潜在威胁。”

  瞻博网络指出他们已经发布了一个公告,其中列出了几个易受攻击的产品,包括那些基于Junos操作系统13.3R1、Odyssey client 5.6r5及更高版本的产品。同样容易受到Heatbleed漏洞问题影响的产品包括Juniper SSL VPN (IVEOS) 7.4r1及以上版本,以及SSL VPN(IVEOS)8.0r1和更高版本。一些产品已经被列为“已经修复”

  列为“不易受到攻击的”产品包括Junos操作系统13.2及更早版本,非FIPS版本网络连接的客户端不会受到影响,以及SSL VPN (IVEOS) 7.3, 7.2和7.1。其他几个网络和安全产品也被列为“不容易受到攻击”。其他瞻博网络产品仍然在调查之中,包括单机IDP、ADC和WL-系列(SmartPass)。

  根据移动安全供应商Lookout Security公司表示,除了这么多网络设备容易受到Heatbleed漏洞影响外,还有某些版本的Android操作系统似乎也容易受到攻击。

  Lookout Security公司首席安全研究人员Marc Rogers表示,到目前为止,该安全公司已经确定易受攻击的谷歌Andr版本只包括4.1.1和4.2.2版本。Android 4.5的最新版本不会受到影响,这可能是因为造成OpenSSL中Heartbleed漏洞问题的功能并没有被启用。Lookout公司已经创造了一个工具来让移动设备用户测试是否存在Heatbleed漏洞。

  Lookout公司称他们不能提供针对Heatbleed的Android修复,这种修复应该来自于Android开源项目,应该由Android手机制造商来提供。我们目前很难确定受影响的Android移动设备清单,因为Android本身已经非常“支离破碎”。

相关文章

关键词:Cisco,Openssl,Juniper,Heartbleed

责任编辑:李荣欣

网警备案