Pilna aktualizacja OpenSSL

Administratorzy serwerów wykorzystujących OpenSSL powinni zaktualizować bibliotekę, po wykryciu 8 nowych zagrożeń. Dwa typy z wykrytych zagrożeń mogą umożliwiać przeprowadzenie ataku DoS (Denial-of-Service).

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Zabezpieczanie infrastruktury sieci i aplikacji

Zabezpieczanie infrastruktury sieci i aplikacji

Z kilku powodów największym zagrożeniem w nowoczesnej infrastrukturze sieci i aplikacji stały się aplikacje. Jednym z nich jest niezwykle szybki ich przyrost spowodowany coraz łatwiejszym ich opracowywaniem. W typowym środowisku biznesowym jest coraz więcej aplikacji, które dodatkowo...

Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

W przypadku sprzętu komputerowego angielski termin „sandbox” od dawna oznaczał bezpieczne, odizolowane środowisko, w którym uruchamiano złośliwy kod w celu jego analizy. Zabezpieczenia sieciowe korzystają obecnie z tego rozwiązania — mogą bowiem wówczas emulować i analizować...

Zapora ISFW - ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

Zapora ISFW - ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

Liczba, zaawansowanie i oddziaływanie cyberataków stale się zwiększa. Z tego względu firmy i instytucje od dawna inwestują w mechanizmy ochrony granic sieci na różnych poziomach, aby uniemożliwiać przedostanie się zagrożeń zewnętrznych do infrastruktury wewnętrznej. Konieczne okazuje...

Błędy zostały zakwalifikowane jako umiarkowany lub niski poziom zagrożenia, w przeciwieństwie do luki Heartbleed odkrytej w ubiegłym roku. Heartbleed umożliwiał atakującemu przejęcie wrażliwych informacji, zawierających między innymi klucze szyfrujące na serwerach. Administratorzy powinni zaplanować aktualizację aktywnych serwerów wykorzystujących OpenSSL w najbliższych dniach. Najnowsze opublikowane wersje OpenSSL to 1.0.1k, 1.0.0p oraz 0.9.8zd.

Dwa zagrożenia DoS - opisane jako CVE-2014-3571 oraz CVE-2015-0206 - dotyczą OpenSSL z implementacją protokołu DTLS (Datagram Transport Layer Security). DTLS umożliwia realizację szyfrowanej komunikacji przez protokoły wykorzystujące datagramy, przykładowo UDP. DTLS wykorzystywany jest między innymi w VPN (Virtual Private Networks) oraz WebRTC (Web Real-Time Communication). Pozostałe zagrożenia OpenSSL dotyczą mechanizmów TLS i mogą prowadzić do nieoczekiwanego zachowania, w przypadku gdy OpenSSL została zbudowana z opcją no-ssl3.

W celu dostarczania wydajnych usług, biblioteka OpenSSL powinna zostać zaktualizowana lub podmieniona na wersje nie zawierające tego problemu, przykładowo LibreSSL. Aktualnie dostępne metody ataku nie umożliwiają zdalnego wykonania kodu lub ujawniania tajnych informacji, ale trudno powiedzieć czy nie pojawią się nowe kierunki ataków na OpenSSL w najbliższych dniach.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.