華三通信旗下產(chǎn)品不受OpenSSL漏洞影響

    4月8日晚，國際著名安全協(xié)議OpenSSL爆出重大安全漏洞——"Heartbleed（心臟流血）"漏洞。通過該漏洞，黑客可輕易的獲取用戶、密碼等隱私信息、欺騙用戶訪問釣魚網(wǎng)站造成用戶的大量隱私數(shù)據(jù)被盜。

    OpenSSL作為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，是業(yè)內(nèi)最為通用的加密協(xié)議之一，目前在各大網(wǎng)銀、電子商務網(wǎng)站、在線支付、在線郵箱服務等眾多互聯(lián)網(wǎng)服務里廣泛應用。該協(xié)議如此廣泛的應用也使得此次爆出的漏洞對整個互聯(lián)網(wǎng)用戶的日常業(yè)務操作造成了較大影響。

    在OpenSSL協(xié)議中包含的heartbeat選項，讓SSL連接一端的計算機發(fā)出短信息來確認計算機仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復。此次爆出的漏洞使黑客可發(fā)送偽裝的惡意heartbeat信息誘使連接另一端的計算機泄露信息，讀取內(nèi)存中64K大小的內(nèi)容，通過對這些內(nèi)容的模式匹配和整理，黑客可找到密鑰、密碼以及眾多個人信息。其中，加密密鑰的失竊將直接導致黑客可以偽裝服務端，誘使用戶泄露所有的賬號密碼和其他敏感信息，考慮到基于HTTPS的訪問往往在用戶眼中代表安全訪問，用戶很可能不加防備的將信用卡信息、個人隱私信息等重要信息發(fā)送給黑客，從而造成進一步的重大損失。

    在獲悉該漏洞信息后，華三通信迅速啟動緊急響應機制，采取以下舉措：

    1、針對旗下全系列產(chǎn)品進行測試驗證，以明確該漏洞對華三通信自身產(chǎn)品（包括基于HTTPS管理登錄方式以及SSL VPN產(chǎn)品）所造成的影響：經(jīng)過嚴格測試驗證，華三通信旗下所有產(chǎn)品均不受該漏洞影響，廣大用戶無需針對現(xiàn)網(wǎng)華三通信產(chǎn)品進行改動。

    2、安全攻防團隊立即針對該漏洞開發(fā)應用層防護特征，并于4月9日即在公司官網(wǎng)IPS（入侵防御產(chǎn)品）特征庫專區(qū)發(fā)布特征升級版本，為華三通信 IPS用戶第一時間提供防護能力，特征庫更新版本號為：SEC-IPS-R1.2.276_EN