iNet-Office

Navrhujeme, realizujeme a optimalizujeme ICT řešení.

HeartBleed chyba v OpenSSL CVE-2014-0160

Jedná se o vážnou bezpečnostní chybu v OpenSSL CVE-2014-0160.

Útočník může díky chybě v knihovně openssl získat část obsahu paměti inkriminovaného počítače, serveru, modemu, routeru a tím získat přístup k citlivým údajům. Záleží jakou část paměti útočník získá a co je v paměti uloženo. Může se jednat o certifikáty, hesla, účty...

Co je to CVE-2014-0160?

CVE-2014-0160 je oficiální odkaz na tuto chybu. CVE (Common Vulnerabilities and Exposures) je standard pro informace o bezpečnostních chybách zpravovaných organizací MITRE

Proč je chyba pojmenována Heartbleed (krvácející srdce)?

Chyba je v knihovně OpenSSL's implementující TLS/DTLS (transport layer security protocols) s rozšířením heartbeat  (RFC6520). Pokud je zaslán na knihovnu požadavek na zpracování rozšíření heartbeat s jinou velikostí než implementace očekává knihovna vrátí výpis části paměti.

Jak zkontrolovat server?

Kontrolu můžete provést pomocí openssl klienta nebo využijte některý z internetových nástrojů.

Pro komlexní kontrolu SSL protokolu používáme nástroj ogranizace QUALYS SLL LASB. Otevřete stránky pro kontrolu a  zadejte adresu serveru pro který bude proveden test SSL protokolu, platnost certifikátu a dále také kontrola chyby heartbeed. O výsledku testu jste informováni během několika vteřin v přegledném grafickém reportu.

Jak jsou na tom naše servery?

Po uvedení informací o chybě heartbleed jsme provedli analýzu a kontrolu námi provozovaných serveru a kontrolu serverů našich klientů. Díky nasazení certifikových systémů SUSE Linux Enterprise Server nebyly kontrolované servery postiženy výše uvedenou chybou.

Pro ukázku uvádím výsledek testu serveru poskytujícího cloudové služby pro firemní komunikaci OXCloud

SSL-test-ox_inet-office_cz_01.jpg
SSL-test-ox_inet-office_cz_02.jpg
SSL-test-ox_inet-office_cz_03.jpg

 

Navigace

Přehled aktualit

03.03.2015 09:04:34 | Nový OXCloud - AppSuite

Připravili a spustili jsme nový OXCloud AppSuite s podporou HTML5 (Android, IOS, BlackBerry). Pokud máte uložen odkaz na přístup do OXCLoud ve svém prohlížeči a nezobrazí se Vám přihlašovací obrazovka použijte následující odkaz https://ox.inet-office.cz

16.10.2014 06:20:19 | Oprava připojení na terminálový server WinConnect VS

Po instalaci bezpečnostní aktualizace Security Update for Windows KB2984972 není dostupný WinConnect Server VS. Opravu provedete odinstalací aktualizace.

Partneři

copyright © 2011 by iNet-Office

Monitor dostupnostiOpen-Xchange serveru Dostupnost podle Monitoring-serverů.cz