Sawmill and Heartbleed bug

Sawmill通報 –  關於Heartbleed Bug (OpenSSL漏洞)

Sawmill 8採用OpenSSL以實作SFTPHTTPS服務,而最近發現的SSL Heartbleed漏洞則有可能影響到使用HTTPSSFTP功能的Sawmill,進而可能發生密碼或其他敏感資訊外漏的問題。

  • Windows平台的版本中,Sawmill自帶了OpenSSL動態連結函式(DLL)檔案,這個檔案沒有漏洞,所以在Windows平台下的Sawmill不受Heartbleed影響。
  • 在其他平台的版本中,Sawmill使用作業系統自帶的OpenSSL函式庫,所以如果作業系統內的OpenSSL函式庫有漏洞,那麼Sawmill可能就會受到影響。您必需昇級您作業系統中的OpenSSL函式庫為沒有漏洞的版本(例如1.0.1g),以避免受到影響。
  • SAWMILL PowerStation G1採用的作業系統是CentOS 5系列,其中的OpenSSL函式庫是0.9系列版本,不受Heartbleed影響。
  • SAWMILL PowerStation G2採用的作業系統是CentOS 6系列,其中OpenSSL函式庫是1.0系列版本,可能會受到Heartbleed影響,而目前針對Heartbleed的修正版為openssl-1.0.1e-16.el6_5.7,故需要進一步查驗是否已受影響。

確認方式:

  1. 以預設帳號密碼,經由SSH登入CLI界面
  2. 輸入指令rpm -qa openssl查詢目前安裝的OpenSSL函式庫版
    受影響的版本openssl-1.0.1e-16.el6_5 – 5.4
  3. 若發現安裝的OpenSSL版本是受影響的版本,請聯繫台迅科技進行遠端昇級,必要時需開放port 22,8980等連接埠以便處理。

 

參考資料: