Como em qualquer nova vulnerabilidade, seus impactos são amplos. Os dispositivos de infraestrutura não são diferentes. A maioria deles incorpora pacotes OpenSSL vulneráveis.
É quase impossível compilar uma lista de todos os produtos vulneráveis 1 , pois afeta qualquer coisa que incluísse as bibliotecas OpenSSL criadas com a implementação original de pulsação OpenSSL TLS até que o patch heartbleed fosse comprometido com a ramificação estável do OpenSSL ; no entanto, podemos listar os principais produtos dos fornecedores aqui.
Este é um wiki da comunidade, fique à vontade para contribuir.
Aruba
- ArubaOS 6.3.x, 6.4.x
- ClearPass 6.1.x, 6.2.x, 6.3.x
- As versões anteriores desses produtos usavam uma versão anterior do OpenSSL que não é vulnerável .
Vulnerabilidade na biblioteca OpenSSL 1.0.1 (Heartbleed).
Redes de ponto de verificação
SK 100173 afirma que os produtos Checkpoint não são vulneráveis.
Cisco
Os seguintes produtos Cisco são afetados por esta vulnerabilidade:
- Cliente de mobilidade segura do Cisco AnyConnect para iOS [CSCuo17488]
- Experiência de colaboração de desktop Cisco DX650
- Telefones IP Cisco Unified 7800 Series
- Telefone IP Cisco Unified 8961
- Telefone IP Cisco Unified 9951
- Telefone IP Cisco Unified 9971
- Cisco IOS XE [CSCuo19730]
- Gerente das comunicações unificadas de Cisco (UCM) 10.0
- Cisco Small Cell 5000 Series da Cisco executando o software V3.4.2.x
- Cisco Small Cell 7000 Series da Cisco executando o software V3.4.2.x
- Sistema de arquivos raiz da recuperação de fábrica do Small Cell V2.99.4 ou posterior
- Switch de acesso Ethernet Cisco MS200X
- Mecanismo de serviço de mobilidade da Cisco (MSE)
- Servidor de comunicação de vídeo Cisco TelePresence (VCS) [CSCuo16472]
- Condutor de TelePresença da Cisco
- Supervisor de TelePresença Cisco MSE 8050
- Servidor Cisco TelePresence 8710, 7010
- Servidor Cisco TelePresence em mídias multipartidárias 310, 320
- Servidor Cisco TelePresence na máquina virtual
- Gateway Cisco ISP TelePresence 8321 e 3201 Series
- Série de gateway serial Cisco TelePresence
- Série de gateway IP Cisco TelePresence
- Versões 2.x do Cisco WebEx Meetings Server [CSCuo17528]
- Cisco Security Manager [CSCuo19265]
Cisco Security Advisory - Vulnerabilidade de extensão de pulsação OpenSSL em vários produtos da Cisco
D-Link
Em 15 de abril de 2014, a D-Link não tinha produtos vulneráveis.
Resposta a incidentes de segurança para dispositivos e serviços D-Link
Fortigar
- FortiGate (FortiOS) 5.x
- FortiAuthenticator 3.x
- FortiMail 5.x
- FortiVoice
- FortiRecorder
- Modelos FortiADC série D 1500D, 2000D e 4000D
- FortiADC E-Series 3.x
- Equalizador de ponto de coiote GX / LX 10.x
Vulnerabilidade de divulgação de informações no OpenSSL
F5
Em 10 de abril de 2014, os seguintes produtos / versões F5 são conhecidos por serem vulneráveis
- Versões 11.5.0 - 11.5.1 do BigIP LTM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP AAM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP AFM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP Analytics (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP APM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP ASM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP GTM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do controlador do BigIP Link (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP PEM (interface Mgmt, cifras SSL compatíveis)
- Versões 11.5.0 - 11.5.1 do BigIP PSM (interface Mgmt, cifras SSL compatíveis)
- Clientes de borda BIG-IP para Apple iOS versões 1.0.5, 2.0.0 - 2.0.1 (VPN)
- Clientes de borda BIG-IP para Linux, versões 6035 - 7101 (VPN)
- Clientes de borda BIG-IP para versões 6035 - 7101 (VPN) do Mac OSX
- Clientes de borda BIG-IP para versões 6035 - 7101 do Windows (VPN)
Vulnerabilidade de OpenSSL do SOL 15159 da F5 Networks CVE-2014-0160
HP
Em 10 de abril
"Determinamos que os produtos que investigamos não são vulneráveis devido ao uso de uma versão do OpenSSL que não é vulnerável ou não está usando o OpenSSL".
Comunicação em rede HP: Vulnerabilidade de OpenSSL HeartBleed
Huawei
Em 14 de abril
A investigação foi concluída e confirma-se que alguns produtos da Huawei foram afetados. A Huawei preparou um plano de fixação e iniciou o desenvolvimento e teste de versões fixas. A Huawei lançará um SA o mais rápido possível. Por favor fique atento.
Declaração de aviso de segurança sobre a vulnerabilidade de extensão de pulsação OpenSSL
Zimbro
Produtos Vulneráveis
- Junos OS 13.3R1
- Cliente Odyssey 5.6r5 e posterior
- SSL VPN (IVEOS) 7.4r1 e posterior e SSL VPN (IVEOS) 8.0r1 e posterior (o código fixo está listado na seção "Solução")
- UAC 4.4r1 e posterior e UAC 5.0r1 e posterior (o código fixo está listado na seção "Solução")
- Junos Pulse (Desktop) 5.0r1 e posterior e Junos Pulse (Desktop) 4.0r5 e posterior
- Network Connect (somente Windows) versão 7.4R5 a 7.4R9.1 e 8.0R1 a 8.0R3.1. (Este cliente é impactado apenas quando usado no modo FIPS.)
- Junos Pulse (Mobile) na versão Android 4.2R1 e superior.
- Junos Pulse (Mobile) na versão 4.2R1 do iOS e superior. (Este cliente é impactado apenas quando usado no modo FIPS.)
Juniper Knowledge Center - Boletim de segurança fora do ciclo 2014-04: Vários produtos afetados pelo problema "Heartbleed" do OpenSSL (CVE-2014-0160)
Palo Alto Networks
O PAN-OS não foi afetado pelo heartbleed
Soluções alternativas
Desative os recursos que utilizam SSL, se possível, e confiem no SSH que, como comentou Mike Pennington, não é vulnerável.
1 Esta listagem foi tirada em 10 de abril de 2014, os fornecedores ainda podem ter seus produtos sob investigação. Esta listagem não é uma diretriz de vulnerabilidade e serve apenas para fornecer ao pôster original uma compreensão do escopo do impacto nos equipamentos de rede.