斯潘8
斯潘4
FME产品套件是否存在与OpenSSL“HeartBleed”漏洞相关的漏洞?
最近,openssl漏洞公开了,我们一直收到请求澄清FME产品套件和我们支持的不同平台中可能存在的任何漏洞。
如果您使用的是FME 2015或更新版本,然后我们就不会发现OpenSSL漏洞了。
以下是运行FME 2014或之前版本时需要注意的事项的细目:
Windows(FME桌面2014或更高版本)
Windows OS的FME桌面没有漏洞。Windows上的FME桌面是用旧版本的openssl编译的,不包含此问题。
Linux(FME桌面2014)
注:适用于Linux Build 14290或更新版本的FME桌面2014包含适当的修复程序.
Linux上的FME桌面2014是用包含该问题的OpenSSL版本编译的。如果使用httpfetcher并连接到恶意服务器,则可能存在漏洞。这是非常不可能的,因为典型的FME用户连接到可信系统。因此,请注意您正在连接的服务器。
同样地,如果要将工作区发布到FME服务器系统,这里唯一关心的是,如果目标系统在某种程度上受到破坏。同时考虑FME服务器环境(见下面的FME服务器部分)。
FME GUI应用程序中的网络功能(如FME Workbench的“FME服务器发布向导”)使用系统openssl;请确保您的系统在所有安全补丁上都是最新的。
Mac(FME桌面2014)
不存在已知的漏洞,因为默认情况下,FME desktop for mac不使用openssl,然而,有人可以在他们的Mac操作系统上安装OpenSSL,然后这就可能暴露系统。有人这样做的风险很低,但这是可能的。苹果公司使用他们自己的OpenSSL分支,这并不受影响(我们相信这是真的,但没有得到证实)。
Web应用服务器(任何平台或版本)
如果使用快速安装安装了FME服务器,那么就没有漏洞。FME服务器随Tomcat一起提供,如果您按照FME服务器管理指南中的说明配置SSL,那么openssl不在图片中。
如果您将Tomcat配置为通过Apache可移植运行时支持SSL(与FME服务器管理指南中建议的相反)。如果安装在系统上,它可能在下面使用OpenSSL。如果是这样的话,我们建议让您的IT团队参与进来,这样他们就可以确保安装在服务器上的OpenSSL版本不易受到攻击。有关4月的更多详细信息,看见http://tomcat.apache.org/native-doc/.
如果您已将FME服务器配置为使用其他Web服务器,请检查Web服务器文档以查看它是否使用了易受攻击的OpenSSL版本。
Windows(FME Server 2014及更早版本)
没有漏洞。
Linux(FME服务器2014-直到版本14288)
注:适用于Linux Build 14290或更新版本的FME桌面2014包含适当的修复程序。
如果使用像GML这样的读卡器,XML或者使用HTTPS协议的WFS,或者httpfetcher转换器,并与恶意服务器建立连接,那么FME引擎可能会受到攻击。这是因为Linux上的FME引擎是用包含该问题的OpenSSL版本编译的。
Linux(FME Server 2013及更早版本)
没有漏洞。
注:FME Server 2014 Build 14290修补程序将部署到FME Cloud。新启动的实例将没有易受攻击的引擎。
新的FME云部署没有漏洞。EC2云实例上的FME服务器安装没有漏洞,然而,利用读卡器(GML,XMLWFS等)使用HTTPS身份验证或httpfetcher可能会导致漏洞。
?2019安全亚搏在线软件公司|合法的