Pilna aktualizacja OpenSSL

Administratorzy serwerów wykorzystujących OpenSSL powinni zaktualizować bibliotekę, po wykryciu 8 nowych zagrożeń. Dwa typy z wykrytych zagrożeń mogą umożliwiać przeprowadzenie ataku DoS (Denial-of-Service).

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Wielokanałowe działanie sklepów detalicznych dzięki bezpiecznej sieci Wi-Fi

Wielokanałowe działanie sklepów detalicznych dzięki bezpiecznej sieci Wi-Fi

Sklepy detaliczne walczą o przetrwanie, podczas gdy sprzedawcy internetowi odnotowują dwucyfrowy wzrost rok do roku. Bystrzy sprzedawcy prowadzący sklepy tradycyjne wiedzą, że aby móc z nimi konkurować, muszą przyjąć wielokanałowy model działania i wykorzystać wszechobecność...

Nowoczesna ochrona danych — sześć zasad, którym należy poświęcić uwagę w pierwszej kolejności

Nowoczesna ochrona danych — sześć zasad, którym należy poświęcić uwagę w pierwszej kolejności

W dyskusjach na temat ochrony danych przybywa nowych idei, ponieważ wszystkie firmy starają się sprostać wymaganiom zmieniającej się rzeczywistości. Muszą zatem uwzględniać takie zagadnienia, jak olbrzymi wzrost ilości danych, migracje do chmury oraz przetwarzanie danych w dowolnym...

Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji

Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji

Dowiedz się jak przedstawiciele polskich organizacji oceniają bezpieczeństwo danych - czy wyżej cenią chmurę publiczną, czy własne centrum danych. Na to oraz kilkanaście innych pytań znajdziesz odpowiedź w bezpłatnym reporcie opracowanym wspólnie przez redakcję Computerworld oraz IBM...

Błędy zostały zakwalifikowane jako umiarkowany lub niski poziom zagrożenia, w przeciwieństwie do luki Heartbleed odkrytej w ubiegłym roku. Heartbleed umożliwiał atakującemu przejęcie wrażliwych informacji, zawierających między innymi klucze szyfrujące na serwerach. Administratorzy powinni zaplanować aktualizację aktywnych serwerów wykorzystujących OpenSSL w najbliższych dniach. Najnowsze opublikowane wersje OpenSSL to 1.0.1k, 1.0.0p oraz 0.9.8zd.

Dwa zagrożenia DoS - opisane jako CVE-2014-3571 oraz CVE-2015-0206 - dotyczą OpenSSL z implementacją protokołu DTLS (Datagram Transport Layer Security). DTLS umożliwia realizację szyfrowanej komunikacji przez protokoły wykorzystujące datagramy, przykładowo UDP. DTLS wykorzystywany jest między innymi w VPN (Virtual Private Networks) oraz WebRTC (Web Real-Time Communication). Pozostałe zagrożenia OpenSSL dotyczą mechanizmów TLS i mogą prowadzić do nieoczekiwanego zachowania, w przypadku gdy OpenSSL została zbudowana z opcją no-ssl3.

W celu dostarczania wydajnych usług, biblioteka OpenSSL powinna zostać zaktualizowana lub podmieniona na wersje nie zawierające tego problemu, przykładowo LibreSSL. Aktualnie dostępne metody ataku nie umożliwiają zdalnego wykonania kodu lub ujawniania tajnych informacji, ale trudno powiedzieć czy nie pojawią się nowe kierunki ataków na OpenSSL w najbliższych dniach.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.