WORLD IPv6 LAUNCH DAY is 6 June 2012 – The Future is Forever

CVE-2014-0160 – Heartbleed bug

Heartbleed bugIn data de 7 aprilie 2014 a fost facuta publica o vulnerabilitate majora in OpenSSL, populara librarie de functii criptografice open-source. Vulnerabilitatea are codul CVE-2014-0160 si este denumita public Heartbleed.

Vulnerabilitatea permite unui atacator sa obtina portiuni de date din memoria server-ului web. Chiar daca Heartbleed nu este un defect al certificatelor SSL sau protocolul TLS, exploatarea acestei gauri de securitate poate duce la compromiterea cheii private, parolelor sau ale altor date sensibile.

Impactul asupra sistemelor LEX Media Concepts

Pana la acest moment nu exista date care sa indice compromiterea sistemelor pe care le administram. Imediat dupa momentul in care departamentul tehnic a intrat in posesia informatiilor legate de aceasta problema de securitate, au fost luate masuri in regim de urgenta, aplicandu-se patch-urile necesare, iar toate certificatele folosite au fost re-emise folosind chei private noi.

Utilitare online pentru testare:

https://www.ssllabs.com/ssltest/
http://possible.lv/tools/hb/
http://filippo.io/Heartbleed/
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

Recomandari pentru utilizatorii de internet

Asigurati-va ca pagina pe care o vizitati si pe ca urmeaza sa va autentificati sau sa introduceti informatii personale, nu este afectata de acest bug. Pentru a realiza acest lucru, accesati pagina https://www.ssllabs.com/ssltest/ si introduceti numele paginii pe care o vizitati in forma nume.ro sau www.nume.ro.
Daca pagina este afectata de acest bug NU introduceti niciun fel de informatii personale! Aceasta este singura metoda prin care puteti fi sigur ca informatiile Dvs. sunt in siguranta.
Daca ati folosit aceleasi date de autentificare si pe alte pagini de internet, schimbati urgent parola la toate conturile care folosesc acele date. Pentru o securitate sporita, folositi parole diferite pentru fiecare pagina de internet, chiar daca aceste parole difera prin doar cateva caractere.

Recomandari pentru Administratorii de Servere

Ce versiuni OpenSSL sunt afectate:

  • 1.0.1 pana la 1.0.1f
  • 1.0.2 beta

Ce versiuni OpenSSL NU sunt afectate:

  • 1.0.1g (lansata in 7 aprilie 2014)
  • 1.0.0 (intreaga ramura)
  • 0.9.8 (intreaga ramura)

Sistemul meu este afectat?

Clientii pot verifica daca sistemele lor sunt sau nu afectate vizitand https://www.ssllabs.com/ssltest/ si testand domeniile pentru care au certificate instalate.

Sistemul este afectat. Cum pot repara aceasta gaura de securitate?

Orice sistem care foloseste o versiune de OpenSSL afectata trebuie actualizat la versiunea 1.0.1g.

1. Aplicati toate actualizarile necesare. Apelati la producatorul sistemului de operare pentru a obtine aceste actualizari.

2. Generati chei private noi si re-emiteti certificatele instalate pe sistemul afectat. Re-emiterea folosind chei private noi este esentiala deoarece cheile vechi pot fi compromise.

3. Dupa instalarea noilor certificate schimbati toate parolele conturilor, in special al celor ce au acces pe partea de administrare pe sistemul respectiv.

Daca sistemul Dvs. nu este afectat

Va recomadam sa schimbati periodit toate parolele pe care le folositi. Nu folositi aceeasi parola pentru mai multe conturi sau pe mai multe pagini de internet.

Informatii detaliate despre aceasta vulnerabilitate pot fi gasite la:
http://heartbleed.com/