Oracle电子商务套件环境可能会或可能不会容易受到 “严重的” OpenSSL漏洞(CVE-2014-0160) 取决于部署架构。 Oracle已在Oracle支持说明ID中发布了指南 1645479.1 “ OpenSSL Security Bug-Heartbleed” (需要支持登录) 明确指出Oracle电子商务套件不容易受到攻击。 但是,许多Oracle电子商务套件环境的构建方式都不是在Oracle电子商务套件应用程序服务器上执行SSL终止,而是由负载均衡器,反向代理或SSL加速器执行SSL终止。 必须检查Oracle电子商务套件环境体系结构,以确定SSL终止点在哪里。

  • 如果SSL终止点是使用捆绑的应用程序服务器组件(Oracle应用程序服务器或Oracle Fusion Middleware)的Oracle电子商务套件应用程序服务器,则Oracle电子商务套件环境不易受到攻击,因为较旧的OpenSSL弱版本是根据Oracle电子商务套件的版本使用使用过的组件或使用非OpenSSL组件。
  • 如果SSL终止点是负载平衡器,反向代理或SSL加速器,则环境 可能是脆弱的 到Heartbleed OpenSSL漏洞。 有许多推荐的且经常部署的产品,例如F5 Big-IP和带有OpenSSL的Apache,它们容易受到攻击。

有关更多信息,请参阅Integrigy对Heartbleed漏洞对Oracle电子商务套件的影响的深入安全分析。

标签: 
脆弱性, DMZ /外部, Oracle电子商务套件