OpenSSL Heartbleed漏洞

与许多其他公司一样，Quantum也受到了Heartbleed漏洞的影响，这是流行的OpenSSL加密软件库中的一个严重漏洞nist.gov)．许多Quantum产品结合了OpenSSL软件库来提供加密功能。OpenSSL 1.0.1到1.0.1f版本受到一个漏洞的影响，该漏洞允许未经身份验证的远程攻击者使用传输层安全(TLS)从连接的客户机或服务器检索最多64kb的内存。该漏洞是由于OpenSSL中的TLS Heartbeat扩展中缺少边界检查。

尽管量子公司的一些产品受到了影响，在几乎所有情况下，都不存在客户数据流量的潜在漏洞。Quantum致力于提供及时的产品更新，以消除“心脏出血”漏洞，这一建议将随着我们的前进而相应更新。

未受影响的量子产品

已知以下Quantum产品不受Heartbleed漏洞影响:

• Lattus A10
• Q-EKM
• SafeNet KIMP
• 标量键管理器
• 标量LTFS
• StorNext文件系统
• StorNext存储管理
• StorNext电器
• Superloader3
• 愿景
• vmPRO

脆弱的量子产品

以下版本的量子产品已知容易受到“心脏出血”漏洞的攻击:

• dxi系列(仅dxi到dxi复制)
• Lattus (HTTPs管理和数据流量)
• 标量i6000(管理流量)
• 标量i500(管理和HTTPs UI流量)
• 标量i40(管理和HTTPs UI流量)
• 标量i80(管理和HTTPs UI流量)
• StorNext q系列(管理流量)
• 泰利斯KMIP (KMIP服务)

影响

在超文本传输协议安全(HTTPs)模式下操作UI访问或启用SMI-S支持的产品配置，如果产品实际遇到恶意攻击，可能容易受到Heartbleed漏洞的攻击。这可能会导致内存内容、产品登录和密码信息以及安全通信证书的泄露。

软件版本及修复

量子软件和固件的补丁正在进行中;请与您的Quantum服务代表联系以获得最新的可用性状态。同时，第三方提供的入侵防御系统(IPS)和入侵检测系统(IDS)产品可能具有可用的签名来阻止攻击。有关更多信息，请与您的安全产品供应商联系。

参考文献

• http://heartbleed.com/
• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
• https://www.openssl.org/news/secadv_20140407.txt

联系信息

在美国，打电话800-284-5101．在欧洲，电话是免费的+ 800-7826-8888或直接+49 6131 3241 1164．您需要您的系统序列号。如需更多联络资料，请浏览我们的服务联络中心．