近日被广泛应用在HTTPS,安全邮件通信和SSL VPN的开源库OpenSSL部分版本暴露出严重安全漏洞(被称为Heartbleed),黑客可以远程对提供了这些服务且使用了存在安全漏洞的OpenSSL库的服务器进行内存溢出攻击,并读取内存中的数据,获取可能的用户名、口令、配置等敏感信息。
经过信息办对我校已知的提供以上服务的网站进行分析,目前不受此漏洞影响的网站包括邮件服务(mail.fudan.edu.cn)、无线认证portal(fduwireless1.fudan.edu.cn)、统一身份认证(uis1.fudan.edu.cn)、校主页用户登录(weblogin.fudan.edu.cn)、PT@Platform(pt.vm.fudan.edu.cn)、一卡通网站( www.ecard.fudan.edu.cn 限内网访问);受此漏洞影响目前已经确认修补了漏洞的包括elearning(elearning.fudan.edu.cn)、Sakai复旦版(sakai.fudan.edu.cn)、第三方认证(tac.fudan.edu.cn)、短信平台(sms.fudan.edu.cn 限内网访问);目前尚未修补的服务仅有SSL VPN( https://sslvpn.fudan.edu.cn),已经联系公司请他们紧急处理,目前已暂时关停服务。另外,我们已经紧急重新签发了用于安全通讯的安全证书,正在配置到相关服务器上,保障信息服务的通讯安全。
综上,除了近期使用过SSL VPN的老师的统一身份认证口令存在泄漏风险外,使用portal、无线认证、第三方认证方式登陆的统一身份认证以及登录电子邮件服务和代理服务的email帐号口令都不存在因此漏洞泄露的风险。建议近期使用过SSL VPN的老师到portal中修改您的统一身份认证口令。
对于校内使用开源Linux/Unix系统部署的服务器并开放了HTTPS服务、SSL VPN服务和SSL邮件服务的系统管理员,建议检查使用的OpenSSL库版本,已知1.0.1至1.0.1f和1.0.2-beta存在此安全漏洞,请升级到修补后的版本,如有问题,可联系信息办提供技术支持。
信息办
2014年4月9日