IT产品Heartbleed灾情大清查

这次OpenSSL加密的Heartbleed危机，不只许多知名网络服务受创，也波及许多IT产品，不论是底层的操作系统、数据库、网站服务器、资安产品、网络通讯及安全设备，甚至是虚拟化平台，都有传出受影响的灾情。我们也在4月16日时，整理了几项目前已揭露的重要IT产品受灾情况，可供企业参考。

若企业使用了这些受到影响的产品，需尽快更新和采取必要的防护措施，例如重新产生加密金钥和撤销旧有的公开金钥，也要通知相关使用者更换密码。

不过这份清单并非是完整的受灾清单，更多Heartbleed漏洞灾情仍持续揭露，企业须持续关注各资讯产品的更新动态，才能掌握最新的Heartbleed灾情和影响。因为微软没有使用OpenSSL做传输加密，是少数不受Heartbleed灾情影响的厂商之一。

 操作系统产品受灾清单 

●    Android：目前仅发现4.1.1版受影响，Google已释出修补版本，但仍由各手机业者自行决定释出更新的时程。

●    Red Hat RHEL：6.5以后版本和RHEL 7测试版受到影响，官方已释出更新，但6.4以前版本不受影响。

●    CentOS：6.5版受影响，官方已释出更新。

●    Debian：稳定的Wheezy版本和测试中的Jessie版本均受影响，Squeezex旧版则不受影响，官方已释出更新。

●    Fedora：19和20版受影响，官方已释出更新。

●    FreeBSD：8～10.0版均受到影响，官方已释出更新。

●    openSUSE：12.2版受影响，官方已释出更新。

●    Oracle Linux：6受影响，甲骨文已释出更新。

●    Solaris：11.1版和更早版本不受影响，特定11.2版本受影响，可联系Oracle寻求更新。

●    Ubuntu：受影响版本包括了12.04LTS版、12.10版和13.10版，官方已释出更新。

●    DragonFlyBSD：3.6.1版受影响，已释出更新。

●    NetBSD：6版受影响，已释出更新。

●    其他受影响的Linux或BSD套件：Slackware 14.0、14.1和现行版本、Scientific Linux 6.5、Gentoo Linux。多已释出更新。

●    不受影响的操作系统产品：Windows Server（包括2003、2003 R2、2008、2008 R2、2012、2012 R2）、OSX、iOS

 网站服务器产品受灾清单 

●    Apache HTTP Server：可能受到影响。凡使用了OpenSSL 1.0.1到1.0.1f受影响版本的Apache网站服务器都需更新。OpenSSL已释出修补程式。

●    Nginx：可能受到影响。凡使用了OpenSSL 1.0.1到1.0.1f受影响版本的Nginx网站服务器都需更新。OpenSSL已释出修补程式。

●    不受影响的网站服务器产品：微软IIS、IBM WebSphere。

 虚拟化产品受灾清单 

●    VMware受影响产品：不少VMware产品因使用OpenSSL 1.0.1而受到影响，包括了ESXi 5.5、vCenter Server 5.5、VMware Fusion 6.0.x、VMware Horizon View 5.3 Feature Pack 1、NSX-MH 4.x、NSX-V 6.0.x、NVP 3.x、VMware Fusion 6.0.x等。

●    VMware不受影响产品：包括了ESXi/ESX 4.x、ESXi 5.0和5.1版、vCenter Server 5.1以前版本（4.x、5.0与5.1版）、VMware Horizon View 5.x和5.2 Feature Pack 1与Pack 2、VMware Fusion 5.x、VMware ThinApp、VMware Workstation等。完整受影响和不受影响清单请参考VMware官网公告，官方已释出更新。

●    不受影响的虚拟化产品：包括了微软Hyper-V、XenServer（使用OpenSSL0.9.8旧版），Oracle VM和VirtualBox 4.2和4.3。

 数据库产品受灾清单 

●    MySQL、MariaDB和PostgreSQL：可能受到影响。凡使用了OpenSSL 1.0.1到1.0.1f受影响版本的数据库系统都需更新。OpenSSL已释出修补程式。

●    不受影响的产品：甲骨文数据库、微软SQL Server。

 资安产品受灾清单 

●    McAfee：多款产品受影响，例如ePolicy Orchestrator、Next Generation Firewall (Stonesoft)、McAfee Firewall Enterprise、McAfee SIEM、McAfee Email Gateway、McAfee Web Gateway等。已提供更新方式，完整清单和更新方式请参考官网。

●    Symantec：受影响产品包括SEPM 12.1 RU2到12.1 RU4 MP1。官方网站也提供初步应急处理方式。

●    F- Secure：受影响企业产品包括F-Secure Server Security、E-mail和Server Security 10.x到11版、PSB Server Security/Email Server Security 10.00版、F-Secure Messaging Secure Gateway 7.5、Protection Service for Email 7.5。官方已提供更新或因应方式。

●    Splunk：受影响产品包括了6.0.0、6.0.1、6.0.2版。官方已提供更新。

●    Kaspersky：受影响产品包括Kaspersky Security Center 10 Maintenance Release 1（10.1.249版）和Kaspersky Security Center 10（10.0.3361版），官方已提供更新。

●    不受影响产品：趋势科技资安产品。

 网络通讯及安全产品受灾厂牌 

不少网通厂商的设备，例如交换器、防火墙、Proxy服务器、UTM、负载平衡设备等产品都可能受到漏洞影响，目前已知受影响的网通厂牌包括了Aruba Networks、Barracuda、BlueCoat、Cisco、Dell、D-Link、F5、FireEye、Fortinet、Imperva、Juniper Networks、Sophos、WatchGuard等，也有部分厂商正在清查确认中，如CheckPoint。多数厂商均已提供修补程式，各厂牌受影响产品清单和更新方式，可参考各厂牌官方网站。

资料来源：各厂商官网、Piyokango，iThome整理，2014年4月16日18点