Pilna aktualizacja OpenSSL

Administratorzy serwerów wykorzystujących OpenSSL powinni zaktualizować bibliotekę, po wykryciu 8 nowych zagrożeń. Dwa typy z wykrytych zagrożeń mogą umożliwiać przeprowadzenie ataku DoS (Denial-of-Service).

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!
Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Zautomatyzowane rozpoznawanie i szybkie eliminowanie słabych punktów

Spektakularne ataki cybernetycznie nie są już dziełem geniuszu utalentowanych hackerów. Jeśli na komputerach w przedsiębiorstwie znajdują się słabe punkty, można dokonać ataku za pomocą narzędzi dostępnych w internecie. Ta biała księga opisuje scenariusze ataków i pokazuje, jak...

Twierdza „data center”

Twierdza „data center”

Znaczenie infrastruktury teleinformatycznej dla poprawnego funkcjonowania przedsiębiorstwa, jak i jej złożoność, nakładają na administratorów wymóg stałej kontroli parametrów pracy serwerowni. Jednak samo gromadzenie informacji o zdarzeniach to nie wszystko – te dane wymagają jeszcze...

Zagrożenia z "ciemnej sieci" – raport IBM

Zagrożenia z "ciemnej sieci" – raport IBM

Jednym z największych zagrożeń współczesnego świata wirtualnego jest ransomware – oprogramowanie, które szyfruje dysk twardy użytkownika, a ponowny dostęp do jego zawartości oferuje za opłatą. Poniższa publikacja wskazuje, że ataki tego typu są obecnie niezwykle dochodową...

Błędy zostały zakwalifikowane jako umiarkowany lub niski poziom zagrożenia, w przeciwieństwie do luki Heartbleed odkrytej w ubiegłym roku. Heartbleed umożliwiał atakującemu przejęcie wrażliwych informacji, zawierających między innymi klucze szyfrujące na serwerach. Administratorzy powinni zaplanować aktualizację aktywnych serwerów wykorzystujących OpenSSL w najbliższych dniach. Najnowsze opublikowane wersje OpenSSL to 1.0.1k, 1.0.0p oraz 0.9.8zd.

Dwa zagrożenia DoS - opisane jako CVE-2014-3571 oraz CVE-2015-0206 - dotyczą OpenSSL z implementacją protokołu DTLS (Datagram Transport Layer Security). DTLS umożliwia realizację szyfrowanej komunikacji przez protokoły wykorzystujące datagramy, przykładowo UDP. DTLS wykorzystywany jest między innymi w VPN (Virtual Private Networks) oraz WebRTC (Web Real-Time Communication). Pozostałe zagrożenia OpenSSL dotyczą mechanizmów TLS i mogą prowadzić do nieoczekiwanego zachowania, w przypadku gdy OpenSSL została zbudowana z opcją no-ssl3.

Zobacz również:

W celu dostarczania wydajnych usług, biblioteka OpenSSL powinna zostać zaktualizowana lub podmieniona na wersje nie zawierające tego problemu, przykładowo LibreSSL. Aktualnie dostępne metody ataku nie umożliwiają zdalnego wykonania kodu lub ujawniania tajnych informacji, ale trudno powiedzieć czy nie pojawią się nowe kierunki ataków na OpenSSL w najbliższych dniach.

Prenumerata Computerworld Zamów teraz bezpłatnie »
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.