Pilna aktualizacja OpenSSL

Administratorzy serwerów wykorzystujących OpenSSL powinni zaktualizować bibliotekę, po wykryciu 8 nowych zagrożeń. Dwa typy z wykrytych zagrożeń mogą umożliwiać przeprowadzenie ataku DoS (Denial-of-Service).

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Nowoczesna ochrona danych — sześć zasad, którym należy poświęcić uwagę w pierwszej kolejności

Nowoczesna ochrona danych — sześć zasad, którym należy poświęcić uwagę w pierwszej kolejności

W dyskusjach na temat ochrony danych przybywa nowych idei, ponieważ wszystkie firmy starają się sprostać wymaganiom zmieniającej się rzeczywistości. Muszą zatem uwzględniać takie zagadnienia, jak olbrzymi wzrost ilości danych, migracje do chmury oraz przetwarzanie danych w dowolnym...

Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji

Bezpieczeństwo chmur publicznych z perspektywy polskich organizacji

Dowiedz się jak przedstawiciele polskich organizacji oceniają bezpieczeństwo danych - czy wyżej cenią chmurę publiczną, czy własne centrum danych. Na to oraz kilkanaście innych pytań znajdziesz odpowiedź w bezpłatnym reporcie opracowanym wspólnie przez redakcję Computerworld oraz IBM...

5 strategii nowoczesnej ochrony danych

5 strategii nowoczesnej ochrony danych

Nie jest tajemnicą, że tradycyjne metody backupu i odtwarzania danych nie nadążają za niespotykanym wzrostem ich ilości, szybko postępującą konsolidacją centrów przetwarzania oraz wirtualizacją serwerów. Poniżej przedstawiono pięć strategii nowoczesnej ochrony danych, które nie...

Błędy zostały zakwalifikowane jako umiarkowany lub niski poziom zagrożenia, w przeciwieństwie do luki Heartbleed odkrytej w ubiegłym roku. Heartbleed umożliwiał atakującemu przejęcie wrażliwych informacji, zawierających między innymi klucze szyfrujące na serwerach. Administratorzy powinni zaplanować aktualizację aktywnych serwerów wykorzystujących OpenSSL w najbliższych dniach. Najnowsze opublikowane wersje OpenSSL to 1.0.1k, 1.0.0p oraz 0.9.8zd.

Dwa zagrożenia DoS - opisane jako CVE-2014-3571 oraz CVE-2015-0206 - dotyczą OpenSSL z implementacją protokołu DTLS (Datagram Transport Layer Security). DTLS umożliwia realizację szyfrowanej komunikacji przez protokoły wykorzystujące datagramy, przykładowo UDP. DTLS wykorzystywany jest między innymi w VPN (Virtual Private Networks) oraz WebRTC (Web Real-Time Communication). Pozostałe zagrożenia OpenSSL dotyczą mechanizmów TLS i mogą prowadzić do nieoczekiwanego zachowania, w przypadku gdy OpenSSL została zbudowana z opcją no-ssl3.

Zobacz również:

W celu dostarczania wydajnych usług, biblioteka OpenSSL powinna zostać zaktualizowana lub podmieniona na wersje nie zawierające tego problemu, przykładowo LibreSSL. Aktualnie dostępne metody ataku nie umożliwiają zdalnego wykonania kodu lub ujawniania tajnych informacji, ale trudno powiedzieć czy nie pojawią się nowe kierunki ataków na OpenSSL w najbliższych dniach.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.