关于 OpenSSL 和 “心脏出血 “漏洞
– 对于那些不熟悉 OpenSSL 的人来说,它是一个开源工具包,实现了安全套接字层(SSL v2/v3)和传输层安全(TLS v1)协议,以及一个完整的通用密码学库。 edgeNEXUS 使用 OpenSSL 作为我们 ALB 产品的一部分,以提供 SSL 客户端终止以及 GUI 的安全显示。
– 该漏洞自 2011 年 12 月 31 日开始存在,2012 年 3 月 14 日 OpenSSL 1.0.1 版本发布后,该漏洞代码被广泛采用。通过读取网络服务器的内存,攻击者可以访问敏感数据,从而危及服务器及其用户的安全。包括服务器私人主密钥在内的潜在安全数据可能会被泄露。
– edgeNEXUS ALB 最近才在 3.25.2 版(第 1431 版)中采用了这一 OpenSSL 版本,因此 “心脏出血 “漏洞存在于这一版本和 ALB 的任何后续版本中。
解决 “心脏出血 “漏洞的 edgeNEXUS 软件包详情
edgeNEXUS 刚刚发布了适用于 ALB 硬件和虚拟设备的 Service Pack 5 – 版本 3.54.1(build 1540),该版本通过用 1.0.1g 版本替换之前的任何 OpenSSL 密码库,解决了 OpenSSL 心脏出血漏洞。与以前的版本相比,SP5 还包含各种错误修复和性能改进。
请注意,如果你没有及时更新 edgeNEXUS ALB 版本,你可能需要使用更多的中间版本进行更新。SP5 可用来直接更新 3.21.2 版(1420 版)之后(包括 3.21.2 版)的任何版本,但如果您的 ALB 运行在比 3.21.2 版(1420 版)更早的版本上,则应发送电子邮件至 “support@edgenexus.io “联系支持人员,以获取更多说明。
有关 SP5 32 位更新包 3.54.1 版(构建 1540)的下载详情,请发送电子邮件至support@edgenexus.io。
