繁體
简体
EN

語言版本:

漏洞修補

2015/1/28

有「鬼」!Linux GHOST 重大漏洞,桓基科技第一時間完成把關

近日發現一個簡稱為 GHOST 的重大安全漏洞,透過 GetHOST 功能觸發,將允許攻擊者遠端獲取最高的系統控制權限。雖然含有該漏洞的 glibc 是在 2000 年 11 月所釋出的 glibc 2.2,已在 2013 年 3 月就被修...

有「鬼」!Linux GHOST重大漏洞,桓基科技第一時間完成把關

2015/1/28

近日發現一個簡稱為 GHOST 的重大安全漏洞,透過 GetHOST 功能觸發,將允許攻擊者遠端獲取最高的系統控制權限。雖然含有該漏洞的 glibc 是在 2000 年 11 月所釋出的 glibc 2.2,已在 2013 年 3 月就被修補。但仍有不少 Linux 版本仍使用尚未修補的 glibc ,以致招來嚴重安全風險。

該漏洞影響 glibc 庫版本 2.2-2.17 的 Linux 操作系統,操作系統類型包括:CentOS 6 & 7、Debian 7、Red Hat Enterprise Linux 6 & 7、Ubuntu 10.04 & 12.04、Fedora 16, 17, 18, 19,或者其他使用 glibc 2.12 ~ glibc 2.17 的系統。桓基科技建議立即更新 yum update 或 apt-get upgrade,以降低或避免損害。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。

客服專線: +886-2-25991833, 0800-222-739
客服信箱:service.support@hgiga.com
客服線上叫修:http://service.hgiga.com

相關技術資料請參考

  1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
  2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0235

2015/1/9

CVE-2014-3571 與 CVE-2015-0206 OpenSSL 的重大漏洞,桓基科技第一時間完成把關

OpenSSL 更新 0.98zd、1.0.0p 和 1.0.1k 版本的漏洞修補,發布 8 項安全性漏洞的修復方案。其中 2 項最嚴重的漏洞可被用來發動 DoS 拒絕服務攻擊。桓基科技建議儘快套用更新檔,以避免服務受此威脅。...

CVE-2014-3571 與 CVE-2015-0206 OpenSSL 的重大漏洞,桓基科技第一時間完成把關

2015/1/9

OpenSSL 更新 0.98zd、1.0.0p 和 1.0.1k 版本的漏洞修補,發布 8 項安全性漏洞的修復方案。其中 2 項最嚴重的漏洞可被用來發動 DoS 拒絕服務攻擊。桓基科技建議儘快套用更新檔,以避免服務受此威脅。

這 2 項安全性漏洞的衝擊程度被歸類中危險級,分別為編號 CVE-2014-3571 與 CVE-2015-0206 ,但上述 2 項威脅只影響採用 DTLS (Datagram Transport Layer Security) 協議的服務,使用 TLS (Transport Layer Security) 的 OpenSSL 用戶則不在受影響之列。雖然與去年喧騰一時的 Heartbleed 相比,這次漏洞威脅溫和許多,只有 2 項為中危險級,6 項為低危險級。桓基科技仍舊提醒各位伺服器系統管理員進行修補更新,避免 DoS 攻擊。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶,桓基科技提供系統健診服務。本公司產品可設定為全面採用TLS 1.0 ,如有需求,請洽桓基客服中心。

客服專線: +886-2-25991833, 0800-222-739
客服信箱:service.support@hgiga.com
客服線上叫修:http://service.hgiga.com

相關技術資料請參考

  1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
  2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0206
  3. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3571
  4. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0206

2014/10/16

CVE-2014-3566 SSLv3 的重大漏洞,桓基科技第一時間完成把關

SSL (Secure Sockets Layer) 3.0網路加密技術有近15年的歷史,這是個已被廢棄且不安全的協定,多數已被較新的TLS (Transport Layer Security) 1.0、TLS 1.1或TLS1.2所取代。然而,就算客戶端與伺...

CVE-2014-3566 SSLv3的重大漏洞,桓基科技第一時間完成把關

2014/10/16

SSL ( Secure Sockets Layer ) 3.0網路加密技術有近15年的歷史,這是個已被廢棄且不安全的協定,多數已被較新的TLS (Transport Layer Security) 1.0、TLS 1.1或TLS1.2所取代。然而,就算客戶端與伺服器端都支援同一個TLS版本,由於許多客戶端內含協定降級功能以處理伺服器端的互動問題,而使得SSL 3.0仍扮演重要的角色。因此,即使是使用較新協定的瀏覽器,在連線失敗後還是會重試舊的協定版本,包括SSL 3.0。

不論是關閉對SSL 3.0的支援或SSL 3.0中的CBC模式都能有效減輕該漏洞的危害,但卻會造成相容性問題。若能改以使用 TLS_FALLBACK_SCSV 的協定,則可避免駭客誘導瀏覽器使用SSL 3.0,同時能解決不斷連結失敗所造成的問題。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶,桓基科技提供系統健診服務。本公司產品可設定為全面採用TLS 1.0,如有需求,請洽桓基客服中心。

客服專線: +886-2-25991833, 0800-222-739
客服信箱:service.support@hgiga.com
客服線上叫修:http://service.hgiga.com

相關技術資料請參考

  1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
  2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
  3. http://thehackernews.com/2014/10/poodle-ssl-30-attack-exploits-widely_14.html

2014/9/25

CVE-2014-6271 Shellshock 的重大漏洞,桓基科技第一時間完成把關

「Shellshock」(或稱「Bash Bug」)的重大漏洞,影響全球大約數億台網站伺服器和其他連網裝置,包括手機、路由器、網站主機、醫療裝置等,讓有心人士遠端透過惡意程式操作伺服器,可導致企業機密和...

CVE-2014-6271 Shellshock 的重大漏洞,桓基科技第一時間完成把關

2014/9/25

「Shellshock」(或稱「Bash Bug」)的重大漏洞,影響全球大約數億台網站伺服器和其他連網裝置,包括手機、路由器、網站主機、醫療裝置等,讓有心人士遠端透過惡意程式操作伺服器,可導致企業機密和個人隱私外洩,嚴重甚至可使網站服務中斷,或變成殭屍電腦攻擊指定目標。 Shellshock 是系統軟體Bash中的漏洞,能讓駭客潛入掌控,以安裝程式或下達指令。 Shellshock 出現在被普遍使用的系統軟體 Bash 中,只要是以Linux 為基礎的系統都受到影響,等於全球大約 51% 的網站都有危險。

桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,由桓基專案技術工程師協助 貴單位檢測系統是否存在此漏洞問題,如有需求,請洽桓基客服中心。

客服專線: +886-2-25991833, 0800-222-739
客服信箱:service.support@hgiga.com
客服線上叫修:http://service.hgiga.com

相關技術資料請參考

  1. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
  2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
  3. http://thehackernews.com/2014/09/bash-shell-vulnerability-shellshock.html