Urządzenia sieciowe dla przedsiębiorstw narażone na bicie serca

14

W dniu 09/04/2014 vulerability heartbleed został ujawniony przez zespół OpenSSL .

Błąd Heartbleed to poważna luka w popularnej bibliotece oprogramowania kryptograficznego OpenSSL. Ta słabość pozwala na kradzież informacji chronionych w normalnych warunkach przez szyfrowanie SSL / TLS używane do zabezpieczenia Internetu.

Czy możemy stworzyć listę korporacyjnych urządzeń sieciowych, które są podatne na bicie serca ?

security 
radicetrentasei
źródło
1
Naturalnie coś w ogromnym oceanie systemów osadzonych w sieci używało podatnych bibliotek openssl; Jaki jest jednak cel twojego pytania? Czy chcesz zbudować listę wrażliwych urządzeń? Jeśli tak, zrób z tego wiki społeczności ... w większości przypadków uważam to za ankietę; jednak mod na innej stronie dał mi pomysł wiki społeczności dla tego rodzaju nieograniczonych, ale obiektywnie weryfikowalnych list ... to pytanie wydaje się pasować. Możemy dodać jedną odpowiedź do listy wszystkich urządzeń. Jeśli Twoim celem nie jest wyszczególnienie wszystkich wrażliwych urządzeń, wyjaśnij swoje zamiary
Mike Pennington
1
Rozpoczęliśmy także alternatywną listę tutaj: docs.google.com/spreadsheets/d/…
Josh Brower

Odpowiedzi:

13

Podobnie jak w przypadku każdej nowej podatności, jej skutki są dalekosiężne. Urządzenia infrastruktury nie różnią się. Większość z nich zawiera wrażliwe pakiety OpenSSL.

Prawie niemożliwe jest skompilowanie listy wszystkich wrażliwych produktów 1 , ponieważ wpływa to na wszystko, co obejmowało biblioteki OpenSSL zbudowane przy użyciu oryginalnej implementacji pulsu OpenSSL TLS, dopóki łata heartbleed nie została przypisana do stabilnej gałęzi OpenSSL ; możemy jednak tutaj wymienić produkty głównych dostawców.


To jest wiki społeczności, nie krępuj się.


Aruba

  • ArubaOS 6.3.x, 6.4.x
  • ClearPass 6.1.x, 6.2.x, 6.3.x
  • Poprzednie wersje tych produktów korzystały z wcześniejszej wersji OpenSSL, która nie jest zagrożona .

Luka w zabezpieczeniach biblioteki OpenSSL 1.0.1 (Heartbleed).

Checkpoint Networks

SK 100173 zapewnia, że ​​produkty Checkpoint nie są wrażliwe.

Cisco

Luka ta dotyczy następujących produktów Cisco:

  • Klient Cisco AnyConnect Secure Mobility dla systemu iOS [CSCuo17488]
  • Cisco Desktop Collaboration Experience DX650
  • Telefony IP z serii Cisco Unified 7800
  • Telefon IP Cisco Unified 8961
  • Telefon IP Cisco Unified 9951
  • Telefon IP Cisco Unified 9971
  • Cisco IOS XE [CSCuo19730]
  • Cisco Unified Communications Manager (UCM) 10.0
  • Cisco Universal Small Cell 5000 Series z oprogramowaniem V3.4.2.x.
  • Cisco Universal Small Cell 7000 Series z oprogramowaniem V3.4.2.x.
  • Główny system plików do odzyskiwania w fabryce małych komórek V2.99.4 lub nowszy
  • Przełącznik dostępu do sieci Ethernet Cisco MS200X
  • Cisco Mobility Service Engine (MSE)
  • Serwer komunikacji wideo Cisco TelePresence (VCS) [CSCuo16472]
  • Cisco TelePresence Conductor
  • Cisco TelePresence Supervisor MSE 8050
  • Cisco TelePresence Server 8710, 7010
  • Serwer Cisco TelePresence na Multiparty Media 310, 320
  • Serwer Cisco TelePresence na maszynie wirtualnej
  • Cisco TelePresence ISDN Gateway Series 8321 i 3201
  • Seria Cisco TelePresence Serial Gateway
  • Seria bram IP Cisco TelePresence
  • Cisco WebEx Meetings Server wersje 2.x [CSCuo17528]
  • Cisco Security Manager [CSCuo19265]

Cisco Security Advisory - Luka w zabezpieczeniach OpenSSL związana z rozszerzeniem pulsu w wielu produktach Cisco

D-Link

Na dzień 15 kwietnia 2014 r. D-Link nie ma wrażliwych produktów.

Reakcja na zdarzenie naruszające bezpieczeństwo urządzeń i usług D-Link

Fortiate

  • FortiGate (FortiOS) 5.x
  • FortiAuthenticator 3.x
  • FortiMail 5.x
  • FortiVoice
  • FortiRecorder
  • Modele FortiADC z serii D 1500D, 2000D i 4000D
  • FortiADC E-Series 3.x
  • Coyote Point Equalizer GX / LX 10.x

Luka w zabezpieczeniach związana z ujawnianiem informacji w OpenSSL

F5

Według stanu na 10 kwietnia 2014 r. Wrażliwe są następujące produkty / wydania F5

  • Wersje BigIP LTM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP AAM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP AFM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP Analytics 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP APM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP ASM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP GTM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje kontrolera BigIP Link 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP PEM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Wersje BigIP PSM 11.5.0 - 11.5.1 (interfejs Mgmt, kompatybilne szyfry SSL)
  • Klienci BIG-IP Edge dla wersji Apple iOS 1.0.5, 2.0.0 - 2.0.1 (VPN)
  • Klienci BIG-IP Edge dla wersji Linux 6035 - 7101 (VPN)
  • Klienci BIG-IP Edge dla wersji Mac OSX 6035 - 7101 (VPN)
  • Klienci BIG-IP Edge dla wersji Windows 6035 - 7101 (VPN)

Luka w zabezpieczeniach F5 Networks SOL 15159 związana z OpenSSL CVE-2014-0160

HP

Od 10 kwietnia

„Ustaliliśmy, że badane przez nas produkty nie są podatne na atak z powodu użycia wersji OpenSSL, która nie jest podatna na atak, lub nie używają OpenSSL”.

Komunikacja sieciowa HP: Luka w zabezpieczeniach OpenSSL HeartBleed

Huawei

Od 14 kwietnia

Dochodzenie zostało zakończone i potwierdzono, że dotyczy to niektórych produktów Huawei. Huawei przygotował plan naprawy i rozpoczął opracowywanie i testowanie wersji naprawionych. Huawei wyda SA jak najszybciej. Bądź na bieżąco.

Oświadczenie o bezpieczeństwie dotyczące luki w zabezpieczeniach związanej z rozszerzeniem pulsu OpenSSL

Jałowiec

Wrażliwe produkty

  • Junos OS 13.3R1
  • Klient Odyssey 5.6r5 i nowszy
  • SSL VPN (IVEOS) 7.4r1 i nowszy oraz SSL VPN (IVEOS) 8.0r1 i nowszy (Naprawiony kod jest wymieniony w sekcji „Rozwiązanie”)
  • UAC 4.4r1 i nowsze wersje oraz UAC 5.0r1 i nowsze wersje (Poprawiony kod znajduje się w sekcji „Rozwiązanie”)
  • Junos Pulse (Desktop) 5.0r1 i nowszy oraz Junos Pulse (Desktop) 4.0r5 i nowszy
  • Network Connect (tylko Windows) w wersji 7.4R5 do 7.4R9.1 i 8.0R1 do 8.0R3.1. (Wpływ na tego klienta dotyczy tylko trybu FIPS.)
  • Junos Pulse (wersja mobilna) na Androida w wersji 4.2R1 i wyższej.
  • Junos Pulse (wersja mobilna) na iOS w wersji 4.2R1 i wyższej. (Wpływ na tego klienta dotyczy tylko trybu FIPS.)

Centrum wiedzy Juniper - 2014-04 Biuletyn bezpieczeństwa poza cyklem: Wiele produktów, których dotyczy problem „Heartbleed” OpenSSL (CVE-2014-0160)

Palo Alto Networks

Serce nie miało wpływu na PAN-OS

Obejścia

Wyłącz zasoby korzystające z SSL, jeśli możesz, i polegaj na SSH, który, jak zauważył Mike Pennington, nie jest zagrożony.

1 Ta aukcja została sporządzona 10 kwietnia 2014 r., Dostawcy mogą nadal badać swoje produkty. Ta lista nie jest wytyczną dotyczącą luk w zabezpieczeniach i służy jedynie zrozumieniu oryginalnego plakatu zakresu wpływu na sprzęt sieciowy.

Ryan Foley
źródło
3
Do Twojej wiadomości, OpenSSH nie jest podatny na bicie serca . Fałszywe są także liczby przerażające dotyczące bicia serca wpływające na 60% internetu. Tylko biblioteki OpenSSL zbudowane w ciągu ostatnich dwóch lat są wrażliwe (szczególnie te z tym zatwierdzeniem pulsu TLS ). Liczba ta jest znacznie niższa niż 60% internetu.
Mike Pennington,
Edytowane w celu odzwierciedlenia tych informacji. Dzięki za heads-upy. Zakładałem, że ta informacja to tylko przynęta na kliknięcie, ja też ją usunę.
Ryan Foley
Czy zdarza ci się wiedzieć, na którą wersję systemu Cisco IOS XE ma wpływ?
@Phil, jeśli klikniesz link do strony Cisco, będzie zawierać odniesienie do błędu ze szczegółowymi informacjami.
radtrentasei
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.