Уважаемые партнеры! Merlion представляет вашему вниманию акцию: «Недели жуткой щедрости в iRU». Получите 500 бонусов за каждый купленный ноутбук iRU! Период действия акции: 08 октября – 31 декабря 2024 года*. Описание: - Пройдите регистрацию для участия в акции. - Закупайте в Merlion ...
Уважаемые партнеры! Совершая покупку продукции LR-Link в компании Treolan, вы можете получить подарочные сертификаты федеральных сетей на ваш выбор. Для участия в программе необходимо зарегистрироваться
Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции: «СВЧ или мини-печь купи, бонус получи!». Период действия акции: 16 сентября - 16 октября 2024 г. Закупайте акционные позиции СВЧ и мини-печей Hyundai и STARWIND и получите бонус 500 руб. за каждую отгруженную позицию. - ...
Уважаемые партнеры! Представляем вашему вниманию маркетинговую акцию «Товары месяца». Закупайте бытовую технику для кухни брендов Hyundai и STARWIND и получайте бонусы! Период действия акции: 11 сентября - 11 октября 2024 г. Фокусные позиции: сушки для фруктов и овощей, термопоты, чайники ...
Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции «Шестизначный бонус от Hyundai!». Период действия акции: с 1 по 30 сентября 2024 г. Описание: - Закупайте фокусные позиции телевизоров Hyundai в компании Merlion и получите бонус 80 000 руб. за каждые 2 500 000 руб. закупки. - ...
Ошибка Heartbleed представляет собой недавно вскрытую уязвимость в криптографический библиотеке OpenSSL (ее номер — CVE-2014-0160), затрагивающую зашифрованные коммуникации веб-приложений, электронной почты, клиентов передачи мгновенных сообщений и некоторых SSL-подключений через виртуальные частные сети. Heartbleed позволяет злоумышленникам получать доступ к контенту оперативной памяти веб-сервера и других уязвимых сервисов и выведывать секретные ключи SSL, содержимое конфигурационных файлов, имена и пароли пользователей, сеансовые идентификаторы, данные cookie и DTLS, а также может использоваться для наращивания объемов трафика и DDoS-атак. От проекта OpenSSL поступили разъяснения, согласно которым ошибка имеется только в OpenSSL 1.0.1 и бета-версии 1.0.2, включая 1.0.1f и 1.0.1-beta1. (Представители проекта OpenSSL поблагодарили Нила Мехту из Google Security за обнаружение давно существовавшей ошибки и Адама Лэнгли и Бодо Мёллера за её исправление.) Ряд фирм, занимающихся сервисами информационной безопасности, в том числе Codenomicon и Accuvant Labs ... читать далее.
Обновите OpenSSL до 1.0.1g. Если пользователям сложно сразу же обновить OpenSSL до версии 1.0.1g, они могут взамен перекомпилировать OpenSSL с ключом -DOPENSSL_NO_ HEARTBEATS. Ошибка в версии 1.0.2 будет исправлена в 1.0.2-beta2.
Не действуйте самостоятельно. Codenomicon предупреждает пользователей, что “даже, если требуемое изменение кода кажется тривиальным”, надо использовать патч OpenSSL.
Примите к сведению уязвимые ОС. <ul>
<li>Ubuntu 12.04.4 LTS с OpenSSL 1.0.1-4ubuntu5.11;</li>
<li>CentOS 6.5 с OpenSSL 1.0.1e-15; Fedora 18 с OpenSSL 1.0.1e-4;</li>
<li> OpenBSD 5.3 (OpenSSL 1.0.1c от 10 мая 2012 г.) и 5.4 (OpenSSL 1.0.1c от 10 мая 2012 г.);</li>
<li>FreeBSD 10.0 с OpenSSL 1.0.1e от 11 февраля 2013 г.;</li>
<li>NetBSD 5.0.2 (OpenSSL 1.0.1e);</li>
<li>OpenSUSE 12.2 (OpenSSL 1.0.1c).</li>
</ul>
Как обнаружить уязвимости. По информации Accuvant Labs, обнаружить уязвимость помогают следующие инструменты: <ul>
<li>воспользуйтесь командной строкой SSL и запустите команду “openssl version -a”, чтобы получить информацию о версии OpenSSL; </li>
<li>Qualys SSL Labs предоставляет бесплатный веб-механизм тестирования любого SSL-веб-сервера в публичном Интернете; </li>
<li>есть автономное средство на базе Python для проверки уязвимости системы. </li>
</ul>
Поможет Perfect Forward Security. Редкая, но мощная серверная опция Perfect Forward Security сможет защитить ранее передававшиеся данные от ретроспективной расшифровки, отмечает Codenomicon.
Свяжитесь со своими вендорами. OpenSSL используется во многих сторонних продуктах и устройствах, и они требуют обновления. Поэтому многие меры безопасности невозможно реализовать без поддержки производителей, и Accuvant советует пользователям связываться со своими вендорами.
Стратегические рекомендации. Accuvant советует следующее: <ul>
<li>регенерировать секретные ключи SSL, начиная с систем, обращенных наружу; </li>
<li>обеспечить ротацию и аннулирование SSL-сертификатов на обращенных наружу системах; </li>
<li>перезагрузить все веб-серверы для прекращения действия всех идентификаторов активных сеансов, которые могли быть раскрыты во время атаки. </li>
</ul>
Пора заняться новыми паролями. Смените пароли к учетным записям: <ul>
<li>на платформах с однократной аутентификацией, которые могут взаимодействовать с хостом; </li>
<li>в веб-интерфейсах устройств, которые могут использовать OpenSSL и Apache; </li>
<li>в Active Directory, поскольку эти учетные записи могут используются для аутентификации во внутренних системах. </li>
</ul>
Обновите версии браузеров. Обновленные версии браузеров будут отклонять аннулированные сертификаты. По информации Accuvant, есть браузеры, в частности, некоторые версии Chrome и Internet Explorer, которые не осуществляют проверку на аннуляцию сертификатов
Рекомендовано к прочтению
«Гарда» в три раза сокращает время на обработку данных при проверке контрагентов и сотрудников «Гарда Аналитика» ускорит принятие решений при выборе контрагентов, найме и проверке сотрудников. В новой версии системы расширен инструментарий оценки рисков, определения скрытых связей и конфликтов интересов. Повышение эффективности работы системы стало возможным за счет применения механизма ...
Децентрализованная цифровая идентификация: стартует глобальная сеть GAN Бутан стал первой страной, присоединившейся к Global Acceptance Network (GAN) — фонду, целью которого является управление некоммерческой децентрализованной сетью цифровой идентификации (decentralized digital identity, DDID), пишет в корпоративном блоге Андраш Ксер, вице-президент, главный аналитик ...
Венчурное инвестирование в стартапы становится в РФ источником развития ИБ-бизнеса Количество венчурных сделок в России, связанных с ИБ-проектами, отмечает старший аналитик «Альфа-Банка» Анна Курбатова, ссылаясь на данные «Центра стратегических разработок», в настоящее время в сотни раз меньше общемировых показателей (примерно 8 млн. долл. в РФ против 10 млрд. долл. в год в мире ...
Как лучшие промышленные практики влияют на разработку ПО Подобно тому, как промышленные предприятия снижают риски, выбирая надежных поставщиков, команды разработчиков ПО должны избегать плохо управляемых Open Source-компонентов, пишет на портале The New Stack Аарон Линскенс, технический писатель компании Sonatype. Традиционные передовые методы ...
«Солар» запустил сервис защиты веб-приложений для среднего бизнеса Сервис защиты веб-приложений WAF (Web Application Firewall) платформы Solar MSS от ГК «Солар», архитектора комплексной кибербезопасности, начнет предоставлять услуги для среднего бизнеса за счет внедрения программного обеспечения российского разработчика SolidSoft. Многолетняя экспертиза сервиса ...
Обеспечение совместимости в стеке данных ИИ Будущее искусственного интеллекта открыто, и совместимость — это ваш билет в будущее, независимо от того, какие технологии входят в ваш стек, пишет на портале The New Stack Бренна Бьюк, эксперт компании MinIO по базам данных и озерам данных. По мере того как ИИ и машинное обучение продолжают ...
Децентрализованная цифровая идентификация: стартует глобальная сеть GAN Бутан стал первой страной, присоединившейся к Global Acceptance Network (GAN) — фонду, целью которого является управление некоммерческой децентрализованной сетью цифровой идентификации (decentralized digital identity, DDID), пишет в корпоративном блоге Андраш Ксер, вице-президент, главный аналитик ...
Как устранить разрыв в навыках работы с данными с помощью аналитики самообслуживания Чтобы оставаться конкурентоспособными в мире, основанном на данных, компании должны повышать квалификацию всех сотрудников, а не только технических специалистов, предоставляя платформы для аналитики и всестороннее обучение, пишет на портале ITPro Today Томер Ширан, основатель компании Dremio ...
Монолит или микросервисы: что выбрать стартапу В среде разработчиков вопрос, что выбрать — монолитную или микросервисную архитектуру, мгновенно вызывает споры. У обоих вариантов есть свои плюсы и минусы, значимость которых зависит от задач продукта и стадии его развития. Рассмотрим, к чему приведет выбор каждой из архитектур и когда стоит ...
Формирование рынка данных: дефрагментация Отношение к цифровой экономике и понимание реализуемых подходов к её построению может быть разным. Но сложно отрицать критическое и инфраструктурное значение рынка данных. Даже обособленная внутренняя корпоративная автоматизация признает необходимость и экономическую целесообразность обмена данными ...