W dniu 09/04/2014 vulerability heartbleed został ujawniony przez zespół OpenSSL .

Błąd Heartbleed to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ta słabość pozwala na kradzież informacji chronionych w normalnych warunkach przez szyfrowanie SSL / TLS używane do zabezpieczenia Internetu.

Czy możemy stworzyć listę korporacyjnych urządzeń sieciowych, które są podatne na bicie serca ?

Podobnie jak w przypadku każdej nowej podatności, jej skutki są dalekosiężne. Urządzenia infrastruktury nie różnią się. Większość z nich zawiera wrażliwe pakiety OpenSSL.

Prawie niemożliwe jest skompilowanie listy wszystkich wrażliwych produktów ¹ , ponieważ wpływa to na wszystko, co obejmowało biblioteki OpenSSL zbudowane przy użyciu oryginalnej implementacji pulsu OpenSSL TLS, dopóki łata heartbleed nie została przypisana do stabilnej gałęzi OpenSSL ; możemy jednak tutaj wymienić produkty głównych dostawców.

To jest wiki społeczności, nie krępuj się.

Aruba

• ArubaOS 6.3.x, 6.4.x
• ClearPass 6.1.x, 6.2.x, 6.3.x
• Poprzednie wersje tych produktów korzystały z wcześniejszej wersji OpenSSL, która nie jest zagrożona .

^{Luka w zabezpieczeniach biblioteki OpenSSL 1.0.1 (Heartbleed).}

Checkpoint Networks

SK 100173 zapewnia, że ​​produkty Checkpoint nie są wrażliwe.

Cisco

Luka ta dotyczy następujących produktów Cisco:

• Klient Cisco AnyConnect Secure Mobility dla systemu iOS [CSCuo17488]
• Cisco Desktop Collaboration Experience DX650
• Telefony IP z serii Cisco Unified 7800
• Telefon IP Cisco Unified 8961
• Telefon IP Cisco Unified 9951
• Telefon IP Cisco Unified 9971
• Cisco IOS XE [CSCuo19730]
• Cisco Unified Communications Manager (UCM) 10.0
• Cisco Universal Small Cell 5000 Series z oprogramowaniem V3.4.2.x.
• Cisco Universal Small Cell 7000 Series z oprogramowaniem V3.4.2.x.
• Główny system plików do odzyskiwania w fabryce małych komórek V2.99.4 lub nowszy
• Przełącznik dostępu do sieci Ethernet Cisco MS200X
• Cisco Mobility Service Engine (MSE)
• Serwer komunikacji wideo Cisco TelePresence (VCS) [CSCuo16472]
• Cisco TelePresence Conductor
• Cisco TelePresence Supervisor MSE 8050
• Cisco TelePresence Server 8710, 7010
• Serwer Cisco TelePresence na Multiparty Media 310, 320
• Serwer Cisco TelePresence na maszynie wirtualnej
• Cisco TelePresence ISDN Gateway Series 8321 i 3201
• Seria Cisco TelePresence Serial Gateway
• Seria bram IP Cisco TelePresence
• Cisco WebEx Meetings Server wersje 2.x [CSCuo17528]
• Cisco Security Manager [CSCuo19265]

^{Cisco Security Advisory - Luka w zabezpieczeniach OpenSSL związana z rozszerzeniem pulsu w wielu produktach Cisco}

D-Link

Na dzień 15 kwietnia 2014 r. D-Link nie ma wrażliwych produktów.

^{Reakcja na zdarzenie naruszające bezpieczeństwo urządzeń i usług D-Link}

Fortiate

• FortiGate (FortiOS) 5.x
• FortiAuthenticator 3.x
• FortiMail 5.x
• FortiVoice
• FortiRecorder
• Modele FortiADC z serii D 1500D, 2000D i 4000D
• FortiADC E-Series 3.x
• Coyote Point Equalizer GX / LX 10.x

^{Luka w zabezpieczeniach związana z ujawnianiem informacji w OpenSSL}

F5

Według stanu na 10 kwietnia 2014 r. Wrażliwe są następujące produkty / wydania F5

• Wersje BigIP LTM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP AAM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP AFM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP Analytics 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP APM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP ASM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP GTM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje kontrolera BigIP Link 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP PEM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Wersje BigIP PSM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
• Klienci BIG-IP Edge dla wersji Apple iOS 1.0.5, 2.0.0 - 2.0.1 (VPN)
• Klienci BIG-IP Edge dla wersji Linux 6035 - 7101 (VPN)
• Klienci BIG-IP Edge dla wersji Mac OSX 6035 - 7101 (VPN)
• Klienci BIG-IP Edge dla wersji Windows 6035 - 7101 (VPN)

^{Luka w zabezpieczeniach F5 Networks SOL 15159 związana z OpenSSL CVE-2014-0160}

HP

Od 10 kwietnia

„Ustaliliśmy, że badane przez nas produkty nie są podatne na atak z powodu użycia wersji OpenSSL, która nie jest podatna na atak, lub nie używają OpenSSL”.

^{Komunikacja sieciowa HP: Luka w zabezpieczeniach OpenSSL HeartBleed}

Huawei

Od 14 kwietnia

Dochodzenie zostało zakończone i potwierdzono, że dotyczy to niektórych produktów Huawei. Huawei przygotował plan naprawy i rozpoczął opracowywanie i testowanie wersji naprawionych. Huawei wyda SA jak najszybciej. Bądź na bieżąco.

^{Oświadczenie o bezpieczeństwie dotyczące luki w zabezpieczeniach związanej z rozszerzeniem pulsu OpenSSL}

Jałowiec

Wrażliwe produkty

• Junos OS 13.3R1
• Klient Odyssey 5.6r5 i nowszy
• SSL VPN (IVEOS) 7.4r1 i nowszy oraz SSL VPN (IVEOS) 8.0r1 i nowszy (Naprawiony kod jest wymieniony w sekcji „Rozwiązanie”)
• UAC 4.4r1 i nowsze wersje oraz UAC 5.0r1 i nowsze wersje (Poprawiony kod znajduje się w sekcji „Rozwiązanie”)
• Junos Pulse (Desktop) 5.0r1 i nowszy oraz Junos Pulse (Desktop) 4.0r5 i nowszy
• Network Connect (tylko Windows) w wersji 7.4R5 do 7.4R9.1 i 8.0R1 do 8.0R3.1. (Wpływ na tego klienta dotyczy tylko trybu FIPS.)
• Junos Pulse (wersja mobilna) na Androida w wersji 4.2R1 i wyższej.
• Junos Pulse (wersja mobilna) na iOS w wersji 4.2R1 i wyższej. (Wpływ na tego klienta dotyczy tylko trybu FIPS.)

^{Centrum wiedzy Juniper - 2014-04 Biuletyn bezpieczeństwa poza cyklem: Wiele produktów, których dotyczy problem „Heartbleed” OpenSSL (CVE-2014-0160)}

Palo Alto Networks

Serce nie miało wpływu na PAN-OS

Obejścia

Wyłącz zasoby korzystające z SSL, jeśli możesz, i polegaj na SSH, który, jak zauważył Mike Pennington, nie jest zagrożony.

¹ _{Ta aukcja została sporządzona 10 kwietnia 2014 r., Dostawcy mogą nadal badać swoje produkty. Ta lista nie jest wytyczną dotyczącą luk w zabezpieczeniach i służy jedynie zrozumieniu oryginalnego plakatu zakresu wpływu na sprzęt sieciowy.}