跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

焦點新聞-2014

:::
:::
OpenSSL Heartbleed的全球祭典,您參與了嗎?
  • 上版日期:2014-06-11

已證實下列網站服務被此漏洞影響,如果您使用以下網站的應用服務,請盡快更新您的密碼,以防護您的個資不外洩。
Social network: Facebook, Instagram, Pinterest, Tumblr
Other Companies: Google, Yahoo
Email: Gmail, Yahoo Mail
Stores and Commerce: Amazon Web Services, Etsy, GoDaddy,
Videos, Photos, Games & Entertainments: Flickr, Minecraft, Netflix, SoundCloud, YouTube
Other: Box, Dropbox, GitHub, IFTTT, OKCupid, Wikipedia, Wunderlist

參考資訊: http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

OpenSSL Heartbleed漏洞說明
全球大多數網站使用的伺服器加密程式出現安全漏洞,臉書(Facebook)與雅虎(Yahoo)旗下的部落格網站Tumblr建議使用者更改密碼,因為OpenSSL Heartbleed的程式安全漏洞可能導致個資外洩。因為該漏洞讓攻擊者從伺服器記憶體中擷取記憶體中存在的機敏資料,可能導致伺服器遭到入侵或取得使用者帳密。

因應OpenSSL Heartbleed漏洞,計資中心為您做了甚麼?

  1. 計資中心在第一時間啟動IPS(Intrusion Prevention System)防護防線,偵測與阻擋OpenSSL的漏洞攻擊。
  2. 計中管轄的伺服器完成檢測與修正工作。
  3. 請各系所與單位網管同仁協助通知轄下的伺服器管理者檢測與修正OpenSSL Heartbleed之漏洞。

使用者與管理者的建議措施
一、使用者與管理者的建議措施

  1. 若常用的網站服務有此漏洞的風險,注意網站是否有更新措施,並請更換密碼。
  2. 若近期有網站通知更換密碼,也請注意是否為釣魚信件。
  3. 注意自己的帳號是否有異常活動。
二、系統管理者應對措施:
  1. 更新 OpenSSL 至 1.0.1g 或 1.0.2-beta2,並密切注意有無後續更新。
  2. 重新產生金鑰(Private Key 可能外洩)、Session(Session ID 可能外洩)、密碼(密碼也可能外洩),並且撤銷原本的金鑰。
  3. 若無法更新,重新編譯 OpenSSL 以關閉 heartbeat 功能。
  4. 使用 Perfect Forward Secrecy (PFS),在未來類似風險發生時減低傷害。

您有任何問題,歡迎與我們聯絡,security@ntu.edu.tw