Уважаемые партнеры! Merlion представляет вашему вниманию акцию: «Недели жуткой щедрости в iRU». Получите 500 бонусов за каждый купленный ноутбук iRU! Период действия акции: 08 октября – 31 декабря 2024 года*. Описание: - Пройдите регистрацию для участия в акции. - Закупайте в Merlion ...
Уважаемые партнеры! Совершая покупку продукции LR-Link в компании Treolan, вы можете получить подарочные сертификаты федеральных сетей на ваш выбор. Для участия в программе необходимо зарегистрироваться
Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции: «СВЧ или мини-печь купи, бонус получи!». Период действия акции: 16 сентября - 16 октября 2024 г. Закупайте акционные позиции СВЧ и мини-печей Hyundai и STARWIND и получите бонус 500 руб. за каждую отгруженную позицию. - ...
Уважаемые партнеры! Представляем вашему вниманию маркетинговую акцию «Товары месяца». Закупайте бытовую технику для кухни брендов Hyundai и STARWIND и получайте бонусы! Период действия акции: 11 сентября - 11 октября 2024 г. Фокусные позиции: сушки для фруктов и овощей, термопоты, чайники ...
Уважаемые партнеры! Приглашаем вас принять участие в маркетинговой акции «Шестизначный бонус от Hyundai!». Период действия акции: с 1 по 30 сентября 2024 г. Описание: - Закупайте фокусные позиции телевизоров Hyundai в компании Merlion и получите бонус 80 000 руб. за каждые 2 500 000 руб. закупки. - ...
Ошибка Heartbleed представляет собой недавно вскрытую уязвимость в криптографический библиотеке OpenSSL (ее номер — CVE-2014-0160), затрагивающую зашифрованные коммуникации веб-приложений, электронной почты, клиентов передачи мгновенных сообщений и некоторых SSL-подключений через виртуальные частные сети. Heartbleed позволяет злоумышленникам получать доступ к контенту оперативной памяти веб-сервера и других уязвимых сервисов и выведывать секретные ключи SSL, содержимое конфигурационных файлов, имена и пароли пользователей, сеансовые идентификаторы, данные cookie и DTLS, а также может использоваться для наращивания объемов трафика и DDoS-атак. От проекта OpenSSL поступили разъяснения, согласно которым ошибка имеется только в OpenSSL 1.0.1 и бета-версии 1.0.2, включая 1.0.1f и 1.0.1-beta1. (Представители проекта OpenSSL поблагодарили Нила Мехту из Google Security за обнаружение давно существовавшей ошибки и Адама Лэнгли и Бодо Мёллера за её исправление.) Ряд фирм, занимающихся сервисами информационной безопасности, в том числе Codenomicon и Accuvant Labs ... читать далее.
Обновите OpenSSL до 1.0.1g. Если пользователям сложно сразу же обновить OpenSSL до версии 1.0.1g, они могут взамен перекомпилировать OpenSSL с ключом -DOPENSSL_NO_ HEARTBEATS. Ошибка в версии 1.0.2 будет исправлена в 1.0.2-beta2.
Не действуйте самостоятельно. Codenomicon предупреждает пользователей, что “даже, если требуемое изменение кода кажется тривиальным”, надо использовать патч OpenSSL.
Примите к сведению уязвимые ОС. <ul>
<li>Ubuntu 12.04.4 LTS с OpenSSL 1.0.1-4ubuntu5.11;</li>
<li>CentOS 6.5 с OpenSSL 1.0.1e-15; Fedora 18 с OpenSSL 1.0.1e-4;</li>
<li> OpenBSD 5.3 (OpenSSL 1.0.1c от 10 мая 2012 г.) и 5.4 (OpenSSL 1.0.1c от 10 мая 2012 г.);</li>
<li>FreeBSD 10.0 с OpenSSL 1.0.1e от 11 февраля 2013 г.;</li>
<li>NetBSD 5.0.2 (OpenSSL 1.0.1e);</li>
<li>OpenSUSE 12.2 (OpenSSL 1.0.1c).</li>
</ul>
Как обнаружить уязвимости. По информации Accuvant Labs, обнаружить уязвимость помогают следующие инструменты: <ul>
<li>воспользуйтесь командной строкой SSL и запустите команду “openssl version -a”, чтобы получить информацию о версии OpenSSL; </li>
<li>Qualys SSL Labs предоставляет бесплатный веб-механизм тестирования любого SSL-веб-сервера в публичном Интернете; </li>
<li>есть автономное средство на базе Python для проверки уязвимости системы. </li>
</ul>
Поможет Perfect Forward Security. Редкая, но мощная серверная опция Perfect Forward Security сможет защитить ранее передававшиеся данные от ретроспективной расшифровки, отмечает Codenomicon.
Свяжитесь со своими вендорами. OpenSSL используется во многих сторонних продуктах и устройствах, и они требуют обновления. Поэтому многие меры безопасности невозможно реализовать без поддержки производителей, и Accuvant советует пользователям связываться со своими вендорами.
Стратегические рекомендации. Accuvant советует следующее: <ul>
<li>регенерировать секретные ключи SSL, начиная с систем, обращенных наружу; </li>
<li>обеспечить ротацию и аннулирование SSL-сертификатов на обращенных наружу системах; </li>
<li>перезагрузить все веб-серверы для прекращения действия всех идентификаторов активных сеансов, которые могли быть раскрыты во время атаки. </li>
</ul>
Пора заняться новыми паролями. Смените пароли к учетным записям: <ul>
<li>на платформах с однократной аутентификацией, которые могут взаимодействовать с хостом; </li>
<li>в веб-интерфейсах устройств, которые могут использовать OpenSSL и Apache; </li>
<li>в Active Directory, поскольку эти учетные записи могут используются для аутентификации во внутренних системах. </li>
</ul>
Обновите версии браузеров. Обновленные версии браузеров будут отклонять аннулированные сертификаты. По информации Accuvant, есть браузеры, в частности, некоторые версии Chrome и Internet Explorer, которые не осуществляют проверку на аннуляцию сертификатов
