[amres-info] OPENSSL sigurnosni propust (CVE-2014-0160)

Miloš Kukoleča milos.kukoleca at amres.ac.rs
Tue Apr 8 13:42:10 CEST 2014 

Poštovane kolege,

 

Primećen je i objavljen novi sigurnosni propust u OPENSSL softveru. Propust
pod nazivom "The Heartbleed" omogućava napadačima da čitaju memoriju sistema
koji su zaštićeni OPENSSL softverom. Ovo može dovesti do krađe privatnih
ključeva na serveru, a samim tim i do kompromitovanja digitalnih serverskih
sertifikata. Ukoliko bi napadač presreo saobraćaj koji se razmenjuje između
servera i korisnika, pomoću privatnog ključa servera bi mogao doći do
osetljivih informacija koje se prenose npr. putem HTTPS saobraćaja. Više
informacija o ovom sigurnosnom problemu možete pronaći na linku
http://heartbleed.com/

 

Verzije OPENSSL softvera koje su OBUHVAĆENE ovim sigurnosnim propustom su:

-          Verzije OPENSSL-a od 1.0.1 do 1.0.1f

 

Verzije OPENSSL softvera koje NISU OBUHVAĆENE ovim sigurnosnim propustom su:

-          OPENSSL 0.9.8

-          OPENSSL 1.0.0

-          OPENSSL 1.0.1g

 

Molimo cenjene kolege administratore da izvrše proveru svih servera na
kojima  je instaliran OPENSSL i ukoliko je neophodno zakrpe problematičnu
verziju softvera.

 

Smernice za Red Hat (CentOS) distribucije:

-          Molimo vas da korišćenjem Paket Menadžera (yum) ažurirate svoju
verziju OPENSSL softvera na verziju 1.0.1e-16.el6_5.7 (ova verzija sadrži
zakrpu za "the heartbleed" propust),
https://rhn.redhat.com/errata/RHSA-2014-0376.html

 

Smernice za Ubuntu distribucije:

-          Molimo vas da korišćenjem Paket Menadžera (apt-get) ažurirate
svoju verziju OPENSSL softvera i ažurirate libssl1.0.0 biblioteku na
odgovarajuću verziju prema uputstvu sa linka http://www.ubuntu.com/usn/

 

Smernice za Debian distribucije:

-          Molimo vas da korišćenjem Paket Menadžera (apt-get) ažurirate
svoju verziju OPENSSL softvera prema uputstvu sa linka
https://security-tracker.debian.org/tracker/CVE-2014-0160

 

Nakon ažuriranja softvera obavezan je restart servera ili restart
pojedinačnih procesa koji koriste SSL biblioteke.

 

Ukoliko procenite da je neko mogao da kompromituje vaše serverske
sertifikate molimo vas da ih povučete i zahtevate nove.

 

Ukoliko procenite da je neko mogao da presretne komunikaciju između vaših
korisnika i servera, te korišćenjem kompromitovanog sertifikata dođe do
poverljivih informacija (korisnički nalozi i šifre), molimo vas da promenite
sve podatke za koje smatrate da bi mogli biti kompromitovani. 

 

Ukoliko imate bilo kakva pitanja slododno nam se obratite na AMRES Helpdesk.

 

Srdačan pozdrav,

Akademska mreža Republike Srbije

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://afrodita.rcub.bg.ac.rs/pipermail/amres-info/attachments/20140408/a259eb8b/attachment.html

More information about the amres-info mailing list