2015/1/28

近日發現一個簡稱為 GHOST 的重大安全漏洞，透過 GetHOST 功能觸發，將允許攻擊者遠端獲取最高的系統控制權限。雖然含有該漏洞的 glibc 是在 2000 年 11 月所釋出的 glibc 2.2，已在 2013 年 3 月就被修補。但仍有不少 Linux 版本仍使用尚未修補的 glibc ，以致招來嚴重安全風險。

該漏洞影響 glibc 庫版本 2.2-2.17 的 Linux 操作系統，操作系統類型包括：CentOS 6 & 7、Debian 7、Red Hat Enterprise Linux 6 & 7、Ubuntu 10.04 & 12.04、Fedora 16, 17, 18, 19，或者其他使用 glibc 2.12 ~ glibc 2.17 的系統。桓基科技建議立即更新 yum update 或 apt-get upgrade，以降低或避免損害。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查，完成此漏洞的更新修補，確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶，桓基科技提供系統健診服務，如有需求，請洽桓基客服中心。

客服專線： +886-2-25991833, 0800-222-739
客服信箱：service.support@hgiga.com
客服線上叫修：http://service.hgiga.com

相關技術資料請參考

1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0235

2015/1/9

OpenSSL 更新 0.98zd、1.0.0p 和 1.0.1k 版本的漏洞修補，發布 8 項安全性漏洞的修復方案。其中 2 項最嚴重的漏洞可被用來發動 DoS 拒絕服務攻擊。桓基科技建議儘快套用更新檔，以避免服務受此威脅。

這 2 項安全性漏洞的衝擊程度被歸類中危險級，分別為編號 CVE-2014-3571 與 CVE-2015-0206 ，但上述 2 項威脅只影響採用 DTLS (Datagram Transport Layer Security) 協議的服務，使用 TLS (Transport Layer Security) 的 OpenSSL 用戶則不在受影響之列。雖然與去年喧騰一時的 Heartbleed 相比，這次漏洞威脅溫和許多，只有 2 項為中危險級，6 項為低危險級。桓基科技仍舊提醒各位伺服器系統管理員進行修補更新，避免 DoS 攻擊。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查，完成此漏洞的更新修補，確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶，桓基科技提供系統健診服務。本公司產品可設定為全面採用TLS 1.0 ，如有需求，請洽桓基客服中心。

客服專線： +886-2-25991833, 0800-222-739
客服信箱：service.support@hgiga.com
客服線上叫修：http://service.hgiga.com

相關技術資料請參考

1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0206
3. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3571
4. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0206

2014/10/16

SSL ( Secure Sockets Layer ) 3.0網路加密技術有近15年的歷史，這是個已被廢棄且不安全的協定，多數已被較新的TLS (Transport Layer Security) 1.0、TLS 1.1或TLS1.2所取代。然而，就算客戶端與伺服器端都支援同一個TLS版本，由於許多客戶端內含協定降級功能以處理伺服器端的互動問題，而使得SSL 3.0仍扮演重要的角色。因此，即使是使用較新協定的瀏覽器，在連線失敗後還是會重試舊的協定版本，包括SSL 3.0。

不論是關閉對SSL 3.0的支援或SSL 3.0中的CBC模式都能有效減輕該漏洞的危害，但卻會造成相容性問題。若能改以使用 TLS_FALLBACK_SCSV 的協定，則可避免駭客誘導瀏覽器使用SSL 3.0，同時能解決不斷連結失敗所造成的問題。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查，確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶，桓基科技提供系統健診服務。本公司產品可設定為全面採用TLS 1.0，如有需求，請洽桓基客服中心。

客服專線： +886-2-25991833, 0800-222-739
客服信箱：service.support@hgiga.com
客服線上叫修：http://service.hgiga.com

相關技術資料請參考

1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
3. http://thehackernews.com/2014/10/poodle-ssl-30-attack-exploits-widely_14.html

2014/9/25

「Shellshock」（或稱「Bash Bug」）的重大漏洞，影響全球大約數億台網站伺服器和其他連網裝置，包括手機、路由器、網站主機、醫療裝置等，讓有心人士遠端透過惡意程式操作伺服器，可導致企業機密和個人隱私外洩，嚴重甚至可使網站服務中斷，或變成殭屍電腦攻擊指定目標。 Shellshock 是系統軟體Bash中的漏洞，能讓駭客潛入掌控，以安裝程式或下達指令。 Shellshock 出現在被普遍使用的系統軟體 Bash 中，只要是以Linux 為基礎的系統都受到影響，等於全球大約 51％ 的網站都有危險。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查，完成此漏洞的更新修補，確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶，桓基科技提供系統健診服務，由桓基專案技術工程師協助 貴單位檢測系統是否存在此漏洞問題，如有需求，請洽桓基客服中心。

客服專線： +886-2-25991833, 0800-222-739
客服信箱：service.support@hgiga.com
客服線上叫修：http://service.hgiga.com

相關技術資料請參考

1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
3. http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html