span8
span4
FME产品套件是否存在与OpenSSL“心脏出血”漏洞相关的漏洞?
最近OpenSSL漏洞被公开,我们已经收到要求澄清任何可能存在于FME产品套件和我们支持的不同平台中的漏洞的请求。
如果您使用的是FME 2015或更新版本,则不存在我们所知的OpenSSL漏洞。
如果你正在运行2014年或之前的FME,你需要注意以下几点:
Windows (FME桌面版2014或更老)
没有漏洞的FME桌面的Windows操作系统。Windows上的FME桌面是用较老版本的OpenSSL编译的,不包含这个问题。
Linux (FME Desktop 2014)
注意:FME Desktop 2014 for Linux Build 14290或更新版本包含适当的修复程序。
Linux上的FME Desktop 2014是使用包含该问题的OpenSSL版本编译的。如果使用HTTPFetcher并连接到恶意服务器,则可能存在漏洞。这是非常不可能的,因为FME用户通常连接到可信的系统。因此,请注意您所连接的服务器。
同样,如果您要将工作空间发布到FME服务器系统,这里惟一要考虑的是目标系统是否受到了某种程度的破坏。还要考虑FME服务器环境(参见下面的FME服务器部分)。
FME GUI应用程序中的网络功能(如FME工作台的“FME服务器发布向导”)使用系统OpenSSL;请确保您的系统是最新的所有安全补丁。
Mac (FME Desktop 2014)
没有已知的漏洞存在,因为FME桌面Mac默认不使用OpenSSL,然而,有人可能安装OpenSSL在他们的Mac OS,然后这可能会暴露系统。有人这样做的风险很低,但这是可能的。苹果使用他们自己的OpenSSL分支不受影响(我们相信这是真的,但没有得到证实)。
Web应用服务器(任何平台或版本)
如果FME服务器安装了Express安装,那么就没有漏洞。FME服务器是由Tomcat提供的,如果您按照FME服务器管理指南中的说明来配置SSL,那么OpenSSL就不在此列。
如果您通过Apache可移植运行时将Tomcat配置为支持SSL(与FME服务器管理指南中建议的相反),那么如果在系统上安装了Tomcat,它可能会在底层使用OpenSSL。如果是这种情况,我们建议您的IT团队参与进来,这样他们就可以确保安装在服务器上的OpenSSL版本不受攻击。更多关于APR的细节,请看http://tomcat.apache.org/native-doc/。
如果您已经将FME服务器配置为使用不同的web服务器,请检查web服务器文档,看看它是否可能使用OpenSSL的脆弱版本。
Windows (FME Server 2014及更早)
没有漏洞。
Linux (FME服务器2014 -直到构建14288)
注意:FME Desktop 2014 for Linux Build 14290或更新版本包含适当的修复程序。
如果使用GML、XML或WFS等读取器(其中使用HTTPS协议)或HTTPFetcher转换器并连接到恶意服务器,那么FME引擎可能会受到攻击。这是因为Linux上的FME引擎是用包含该问题的OpenSSL版本编译的。
Linux (FME服务器2013年及更早)
没有漏洞。
注:FME服务器2014 Build 14290热修复将被部署到FME云。新启动的实例不会有脆弱的引擎。
新的FME云部署没有漏洞。但是,在EC2云实例上安装FME服务器没有漏洞,使用HTTPS身份验证或HTTPFetcher的读取器(GML、XML、WFS等)的工作空间可能会引入漏洞。
©2019安全亚搏在线软件公司法律