心血漏洞:http://heartbleed.com

总结: 心血漏洞对赛风的影响

  • 部分赛风的服务器曾经使用受影响的 OpenSSL版本,令 Python 网站服务器更容易受到心血漏洞的攻击。在网页服务器的处理工序里,包括赛风网络网路构架排列信息和网络使用数据, 还有网络密钥服务程序,都负有潜在风险。

  • SSH或SSH+ 赛风隧道却没有受到影响,用户流量亦然。可是,由于赛风会话前的验证阶段私钥是存储在 Python 网络服务器的内存里,VPN 赛风隧道可能会有潜在的中间人攻击的风险。

  • 在二零一四年四月八号,赛风所有的服务器都进行了OpenSSL版本升级以更新修复版本。所有受影响的服务器都废除了非SSH或SSH+的功能(对所有用户作频外更新),让賽风用户客户端不会在安全隧道之外使用有潜在泄漏风险的服务器加密密钥。

  • Windows的用户版本没有採用OpenSSL,因此不会受到心血漏洞的攻击。

  • 安卓的用户版本隧道也没有採用OpenSSL, 可是客户端使用安卓Java SSL 进行与赛风网络服务器和亚马逊S3的网络请求。由于安卓4.1.1 受心血漏洞影响,我们的在这里版本Android上的App 继续在与亚马逊服务,赛风服务器,或中间人攻击上窃取App 内存数据上上承担一定的潜在风险。

  • 赛风的电邮自动回复服务器却使用了受影响的 OpenSSL 版本。攻击者透过SSL连接到云端的电邮服务器(使用该服务器的地址发出电邮请求),从而窥看电邮服务器的内存存储。这能暴露电有的内容,甚至发送和收信任的地址。这些OpenSSL版本都在二零一四年四月八号被更新修复。

  • 回馈处理服务器使用了受影响的OpenSSL。此服务器有可能通过使用该版本插件库(通过Python+ Boto)向亚马逊AWS服务和谷歌Gmail服务器发起SSL连接。这意味着亚马逊或谷歌能够看到用户回馈数据。可是,请注意此数据也已经在亚马逊EC2 存档,而且有部分数据的也会透过Gmail电邮发送到我们的邮箱。这些OpenSSL版本都在二零一四年四月八号被更新修复。

  • https://psiphon.ca 并没有使用受影响的OpenSSL版本。