Opublikowano informację o krytycznej luce w popularnej bibliotece openssl.
Wykorzystanie tej luki umożliwia odczytanie części informacji z pamięci
(mogą to być ostatnio przesłane dane, hasła do bazy danych lub nawet klucz prywatny zabezpieczający certyfikat ssl). Na atak podatne są wersje od 1.0.1 do 1.0.1f włącznie.
Po aktualizacji biblioteki nalezy zrestartowac wszystkie podatne usługi
(zwykle będzie to serwer www, pocztowy, ftp, vpn).
Oryginalna informacja od autorów:
https://www.openssl.org/news/secadv_20140407.txt
Komunikaty popularnych dystrybucji:
Debian
Ubuntu
Redhat
Centos
FreeBSD
Przydatne informacje mozna znalezc także tu:
http://heartbleed.com/
http://www.kb.cert.org/vuls/id/720951
Dostępne są także skanery weryfikujące podatność:
http://possible.lv/tools/hb/
http://filippo.io/Heartbleed/
UWAGA!
Przeskanowaliśmy systemy w naszej sieci pod kątem tej słabości. W pierwszej kolejności zajęliśmy się aktualizacją systemów z wykupionym wsparciem administracyjnym. Ich systemy są już bezpieczne.
