西班牙
斯潘4
FME产品套件是否存在与OpenSSL“Heartbleed”漏洞相关的漏洞?
最近OpenSSL漏洞被公开,我们已经收到了澄清任何可能存在于FME产品套件和我们支持的不同平台的漏洞的请求。
如果您使用的是FME 2015或更高版本,那么我们没有发现OpenSSL漏洞。
以下是运行FME 2014或之前版本时需要注意的事项:
Windows (FME桌面版2014或更老)
Windows操作系统的FME桌面没有漏洞。Windows上的FME桌面已用旧版本的OpenSSL编译,不包含此问题。
Linux (FME Desktop 2014)
注意:FME Desktop 2014 for Linux Build 14290或更新版本包含适当的修复程序是的。
Linux上的FME Desktop 2014是使用包含此问题的OpenSSL版本编译的。如果使用HTTPFetcher和连接到恶意服务器,可能存在漏洞。这是极不可能的,因为通常fme用户连接到可信系统。因此,请注意正在连接的服务器。
同样,如果您要将工作区发布到fme服务器系统,这里唯一要考虑的是目标系统是否以某种方式受到损害。同时考虑fme服务器环境(参见下面的fme服务器部分)。
fme gui应用程序(如fme工作台的“fme服务器发布向导”)中的网络功能使用系统openssl;请确保您的系统在所有安全修补程序上都是最新的。
Mac (FME Desktop 2014)
没有已知的漏洞存在,因为FME桌面的MAC不使用OpenSSL默认情况下,但是,有可能有人安装OpenSSL在他们的Mac OS,然后这可能会暴露系统。有人这样做的风险很低,但这是可能的。苹果使用他们自己的openssl分支,它没有受到影响(我们相信这是真的,但没有得到证实)。
Web应用服务器(任何平台或版本)
如果FME服务器是与快速安装一起安装的,则没有漏洞。fme服务器随tomcat一起提供,如果您按照fme服务器管理指南中的说明配置ssl,那么openssl不在图中。
如果您通过apache可移植运行时将tomcat配置为支持ssl(与fme服务器管理指南中的建议相反),那么如果系统上安装了openssl,它可能会在下面使用openssl。如果是这种情况,我们建议您的IT团队参与进来,这样他们就可以确保安装在服务器上的OpenSSL版本不受攻击。更多关于APR的细节,请看http://tomcat.apache.org/native-doc/是的。
如果您已经将FME服务器配置为使用不同的web服务器,请检查web服务器文档,看看它是否可能使用OpenSSL的脆弱版本。
Windows (FME Server 2014及更早)
没有漏洞。
Linux (FME服务器2014 -直到构建14288)
注意:FME Desktop 2014 for Linux Build 14290或更新版本包含适当的修复程序。
如果使用GML、XML或WFS等读取器(其中使用HTTPS协议)或HTTPFetcher转换器并连接到恶意服务器,那么FME引擎可能会受到攻击。这是因为Linux上的FME引擎是用包含该问题的OpenSSL版本编译的。
Linux (FME服务器2013年及更早)
没有漏洞。
注:FME服务器2014 Build 14290热修复将被部署到FME云。新启动的实例不会有脆弱的引擎。
新的FME云部署没有漏洞。但是,在EC2云实例上安装FME服务器没有漏洞,使用HTTPS身份验证或HTTPFetcher的读取器(GML、XML、WFS等)的工作空间可能会引入漏洞。
?2019安全亚搏在线软件公司|合法的