OpenSSL Heartbleed漏洞
与许多其他公司一样,Quantum也受到了Heartbleed漏洞的影响,这是流行的OpenSSL加密软件库中的一个严重漏洞nist.gov).许多Quantum产品结合了OpenSSL软件库来提供加密功能。OpenSSL 1.0.1到1.0.1f版本受到一个漏洞的影响,该漏洞允许未经身份验证的远程攻击者使用传输层安全(TLS)从连接的客户机或服务器检索最多64kb的内存。该漏洞是由于OpenSSL中的TLS Heartbeat扩展中缺少边界检查。
尽管量子公司的一些产品受到了影响,在几乎所有情况下,都不存在客户数据流量的潜在漏洞。Quantum致力于提供及时的产品更新,以消除“心脏出血”漏洞,这一建议将随着我们的前进而相应更新。
未受影响的量子产品
已知以下Quantum产品不受Heartbleed漏洞影响:
- Lattus A10
- Q-EKM
- SafeNet KIMP
- 标量键管理器
- 标量LTFS
- StorNext文件系统
- StorNext存储管理
- StorNext电器
- Superloader3
- 愿景
- vmPRO
脆弱的量子产品
以下版本的量子产品已知容易受到“心脏出血”漏洞的攻击:
- dxi系列(仅dxi到dxi复制)
- Lattus (HTTPs管理和数据流量)
- 标量i6000(管理流量)
- 标量i500(管理和HTTPs UI流量)
- 标量i40(管理和HTTPs UI流量)
- 标量i80(管理和HTTPs UI流量)
- StorNext q系列(管理流量)
- 泰利斯KMIP (KMIP服务)
影响
在超文本传输协议安全(HTTPs)模式下操作UI访问或启用SMI-S支持的产品配置,如果产品实际遇到恶意攻击,可能容易受到Heartbleed漏洞的攻击。这可能会导致内存内容、产品登录和密码信息以及安全通信证书的泄露。
软件版本及修复
量子软件和固件的补丁正在进行中;请与您的Quantum服务代表联系以获得最新的可用性状态。同时,第三方提供的入侵防御系统(IPS)和入侵检测系统(IDS)产品可能具有可用的签名来阻止攻击。有关更多信息,请与您的安全产品供应商联系。
参考文献
- http://heartbleed.com/
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
- https://www.openssl.org/news/secadv_20140407.txt
联系信息
在美国,打电话800-284-5101.在欧洲,电话是免费的+ 800-7826-8888或直接+49 6131 3241 1164.您需要您的系统序列号。如需更多联络资料,请浏览我们的服务联络中心.