09/04/2014 уязвимость Heartbleed была раскрыта командой OpenSSL .
Ошибка Heartbleed - серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OpenSSL. Этот недостаток позволяет похищать информацию, защищенную в обычных условиях шифрованием SSL / TLS, используемым для защиты Интернета.
Можем ли мы составить список корпоративных сетевых устройств, уязвимых для сердечных сокращений ?
Ответы:
Как и в случае любой новой уязвимости, ее последствия имеют далеко идущие последствия. Инфраструктурные устройства ничем не отличаются. Большинство из них включают уязвимые пакеты OpenSSL.
Почти невозможно составить список каждого уязвимого продукта 1 , поскольку он затрагивает все, что включает библиотеки OpenSSL, созданные с использованием исходной реализации пульса OpenSSL TLS, до тех пор, пока исправление с сердечным патчем не будет передано стабильной ветви OpenSSL ; однако, мы можем перечислить продукты основных поставщиков здесь.
Это вики сообщества, вы можете внести свой вклад.
Аруба
Уязвимость в библиотеке OpenSSL 1.0.1 (Heartbleed).
Контрольно-пропускные пункты
SK 100173 утверждает, что продукты Checkpoint не являются уязвимыми.
Cisco
Следующие продукты Cisco подвержены этой уязвимости:
Cisco Security Advisory - Уязвимость расширения пульса OpenSSL в нескольких продуктах Cisco
D-Link
Реагирование на инциденты безопасности для устройств и сервисов D-Link
Fortigate
Уязвимость раскрытия информации в OpenSSL
F5
По состоянию на 10 апреля 2014 года следующие продукты / релизы F5, как известно, уязвимы
Уязвимость F5 Networks SOL 15159 OpenSSL, CVE-2014-0160
HP
По состоянию на 10 апреля
Сетевые коммуникации HP: Уязвимость OpenSSL HeartBleed
Huawei
По состоянию на 14 апреля
Уведомление о безопасности в отношении уязвимости OpenSSL, связанной с расширением пульса
можжевельник
Уязвимые продукты
Информационный центр Juniper - 2014-04 Бюллетень по безопасности вне цикла: несколько продуктов, затронутых проблемой «Heartbleed» OpenSSL (CVE-2014-0160)
Palo Alto Networks
PAN-OS не пострадала от кровотечения
обходные
Отключите ресурсы, использующие SSL, если можете, и полагайтесь на SSH, который, как заметил Майк Пеннингтон, не уязвим.
1 Этот список был составлен 10 апреля 2014 года, поставщики могут по-прежнему расследовать свою продукцию. Этот список не является руководством по уязвимости и служит только для того, чтобы дать первоначальному постеру представление о масштабах воздействия на сетевое оборудование.
источник