Como con cualquier nueva vulnerabilidad, sus impactos son de gran alcance. Los dispositivos de infraestructura no son diferentes. La mayoría de ellos incorporan paquetes vulnerables de OpenSSL.
Es casi imposible compilar una lista de todos los productos vulnerables 1 , ya que afecta todo lo que incluye las bibliotecas OpenSSL creadas con la implementación original de latidos OpenSSL TLS hasta que el parche heartbleed se confirmó en la rama estable de OpenSSL ; sin embargo, podemos enumerar los productos de los principales proveedores aquí.
Esta es una wiki comunitaria, no dude en contribuir.
Aruba
- ArubaOS 6.3.x, 6.4.x
- ClearPass 6.1.x, 6.2.x, 6.3.x
- Las versiones anteriores de estos productos usaban una versión anterior de OpenSSL que no es vulnerable .
Vulnerabilidad de la biblioteca OpenSSL 1.0.1 (Heartbleed).
Redes de puntos de control
SK 100173 afirma que los productos Checkpoint no son vulnerables.
Cisco
Los siguientes productos Cisco están afectados por esta vulnerabilidad:
- Cliente de movilidad segura Cisco AnyConnect para iOS [CSCuo17488]
- Experiencia de colaboración de escritorio de Cisco DX650
- Teléfonos IP Cisco Unified serie 7800
- Teléfono IP Cisco Unified 8961
- Teléfono Cisco Unified 9951 IP
- Teléfono IP Cisco Unified 9971
- Cisco IOS XE [CSCuo19730]
- Cisco Unified Communications Manager (UCM) 10.0
- Cisco Universal Small Cell 5000 Series con el software V3.4.2.x
- Cisco Universal Small Cell 7000 Series con software V3.4.2.x
- Sistema de archivos raíz de recuperación de Small Cell factory V2.99.4 o posterior
- Conmutador de acceso Ethernet Cisco MS200X
- Motor de servicio de movilidad de Cisco (MSE)
- Servidor de comunicaciones de video Cisco TelePresence (VCS) [CSCuo16472]
- Cisco TelePresence Conductor
- Cisco TelePresence Supervisor MSE 8050
- Cisco TelePresence Server 8710, 7010
- Servidor Cisco TelePresence en medios multiparte 310, 320
- Servidor Cisco TelePresence en máquina virtual
- Cisco TelePresence ISDN Gateway serie 8321 y 3201
- Serie de puerta de enlace serie Cisco TelePresence
- Cisco TelePresence IP Gateway Series
- Cisco WebEx Meetings Server versiones 2.x [CSCuo17528]
- Cisco Security Manager [CSCuo19265]
Aviso de seguridad de Cisco: vulnerabilidad de extensión de latido de OpenSSL en varios productos de Cisco
D-Link
A partir del 15 de abril de 2014, D-Link no tiene productos vulnerables.
Respuesta a incidentes de seguridad para dispositivos y servicios D-Link
Fortigate
- FortiGate (FortiOS) 5.x
- FortiAuthenticator 3.x
- FortiMail 5.x
- FortiVoice
- FortiRecorder
- FortiADC D-Series modelos 1500D, 2000D y 4000D
- FortiADC E-Series 3.x
- Coyote Point Equalizer GX / LX 10.x
Vulnerabilidad de divulgación de información en OpenSSL
F5
A partir del 10 de abril de 2014, se sabe que los siguientes productos / lanzamientos de F5 son vulnerables
- BigIP LTM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- BigIP AAM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- BigIP AFM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- Versiones de BigIP Analytics 11.5.0 - 11.5.1 (interfaz de gestión, cifrados SSL compatibles)
- BigIP APM Versiones 11.5.0 - 11.5.1 (interfaz de gestión, cifrado SSL compatible)
- BigIP ASM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- BigIP GTM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- BigIP Link Controller Versiones 11.5.0 - 11.5.1 (interfaz de gestión, cifrado SSL compatible)
- BigIP PEM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- BigIP PSM Versiones 11.5.0 - 11.5.1 (Interfaz de gestión, cifrado SSL compatible)
- Clientes Edge BIG-IP para Apple iOS Versiones 1.0.5, 2.0.0 - 2.0.1 (VPN)
- Clientes Edge BIG-IP para Linux Versiones 6035 - 7101 (VPN)
- Clientes Edge BIG-IP para Mac OSX Versiones 6035 - 7101 (VPN)
- Clientes BIG-IP Edge para las versiones de Windows 6035 - 7101 (VPN)
Vulnerabilidad de OpenSSL en SOL 15159 de F5 Networks CVE-2014-0160
HP
A partir del 10 de abril
"Hemos determinado que los productos que hemos investigado no son vulnerables debido al uso de una versión de OpenSSL que no es vulnerable o no está utilizando OpenSSL".
HP Networking Communication: vulnerabilidad de OpenSSL HeartBleed
Huawei
A partir del 14 de abril
La investigación se ha completado y se confirma que algunos productos de Huawei están afectados. Huawei ha preparado un plan de reparación y comenzó el desarrollo y prueba de versiones fijas. Huawei lanzará una SA lo antes posible. Por favor manténgase al tanto.
Declaración de aviso de seguridad sobre la vulnerabilidad de extensión de latido de OpenSSL
Enebro
Productos Vulnerables
- Junos OS 13.3R1
- Cliente Odyssey 5.6r5 y posterior
- SSL VPN (IVEOS) 7.4r1 y posterior, y SSL VPN (IVEOS) 8.0r1 y posterior (el código fijo aparece en la sección "Solución")
- UAC 4.4r1 y posterior, y UAC 5.0r1 y posterior (el código fijo aparece en la sección "Solución")
- Junos Pulse (Desktop) 5.0r1 y posterior, y Junos Pulse (Desktop) 4.0r5 y posterior
- Network Connect (solo Windows) versión 7.4R5 a 7.4R9.1 y 8.0R1 a 8.0R3.1. (Este cliente solo se ve afectado cuando se usa en modo FIPS).
- Junos Pulse (Mobile) en Android versión 4.2R1 y superior.
- Junos Pulse (Mobile) en iOS versión 4.2R1 y superior. (Este cliente solo se ve afectado cuando se usa en modo FIPS).
Centro de conocimiento de Juniper - Boletín de seguridad fuera de ciclo 2014-04: Múltiples productos afectados por el problema "Heartbleed" de OpenSSL (CVE-2014-0160)
Redes de Palo Alto
PAN-OS no se vio afectado por la hemorragia cardíaca
Soluciones
Desactive los recursos que utilizan SSL, si puede, y confíe en SSH que, como comentó Mike Pennington, no es vulnerable.
1 Este listado se tomó el 10 de abril de 2014, los vendedores aún pueden tener sus productos bajo investigación. Este listado no es una directriz de vulnerabilidad, y solo sirve para dar al póster original una comprensión del alcance del impacto en el equipo de red.