Девять мер защиты от уязвимости Heartbleed

Обновите OpenSSL до 1.0.1g. Если пользователям сложно сразу же обновить OpenSSL до версии 1.0.1g, они могут взамен перекомпилировать OpenSSL с ключом -DOPENSSL_NO_ HEARTBEATS. Ошибка в версии 1.0.2 будет исправлена в 1.0.2-beta2.	Не действуйте самостоятельно. Codenomicon предупреждает пользователей, что “даже, если требуемое изменение кода кажется тривиальным”, надо использовать патч OpenSSL.	Примите к сведению уязвимые ОС. <ul> <li>Ubuntu 12.04.4 LTS с OpenSSL 1.0.1-4ubuntu5.11;</li> <li>CentOS 6.5 с OpenSSL 1.0.1e-15; Fedora 18 с OpenSSL 1.0.1e-4;</li> <li> OpenBSD 5.3 (OpenSSL 1.0.1c от 10 мая 2012 г.) и 5.4 (OpenSSL 1.0.1c от 10 мая 2012 г.);</li> <li>FreeBSD 10.0 с OpenSSL 1.0.1e от 11 февраля 2013 г.;</li> <li>NetBSD 5.0.2 (OpenSSL 1.0.1e);</li> <li>OpenSUSE 12.2 (OpenSSL 1.0.1c).</li> </ul>
Как обнаружить уязвимости. По информации Accuvant Labs, обнаружить уязвимость помогают следующие инструменты: <ul> <li>воспользуйтесь командной строкой SSL и запустите команду “openssl version -a”, чтобы получить информацию о версии OpenSSL; </li> <li>Qualys SSL Labs предоставляет бесплатный веб-механизм тестирования любого SSL-веб-сервера в публичном Интернете; </li> <li>есть автономное средство на базе Python для проверки уязвимости системы. </li> </ul>	Поможет Perfect Forward Security. Редкая, но мощная серверная опция Perfect Forward Security сможет защитить ранее передававшиеся данные от ретроспективной расшифровки, отмечает Codenomicon.	Свяжитесь со своими вендорами. OpenSSL используется во многих сторонних продуктах и устройствах, и они требуют обновления. Поэтому многие меры безопасности невозможно реализовать без поддержки производителей, и Accuvant советует пользователям связываться со своими вендорами.
Стратегические рекомендации. Accuvant советует следующее: <ul> <li>регенерировать секретные ключи SSL, начиная с систем, обращенных наружу; </li> <li>обеспечить ротацию и аннулирование SSL-сертификатов на обращенных наружу системах; </li> <li>перезагрузить все веб-серверы для прекращения действия всех идентификаторов активных сеансов, которые могли быть раскрыты во время атаки. </li> </ul>	Пора заняться новыми паролями. Смените пароли к учетным записям: <ul> <li>на платформах с однократной аутентификацией, которые могут взаимодействовать с хостом; </li> <li>в веб-интерфейсах устройств, которые могут использовать OpenSSL и Apache; </li> <li>в Active Directory, поскольку эти учетные записи могут используются для аутентификации во внутренних системах. </li> </ul>	Обновите версии браузеров. Обновленные версии браузеров будут отклонять аннулированные сертификаты. По информации Accuvant, есть браузеры, в частности, некоторые версии Chrome и Internet Explorer, которые не осуществляют проверку на аннуляцию сертификатов

Рекомендовано к прочтению

Шесть облачных тенденций, за которыми стоит следить в 2025 году Облачные стратегии продолжают меняться по мере того, как организации используют все больше сервисов. Один из главных факторов — искусственный интеллект ... API-тренды 2025: фокус на разработчиках Для индустрии прикладных программных интерфейсов (API) ключ к тому, чтобы идти в ногу с тенденциями, не жертвуя основами, — это подход, ориентированный на ... iTPROTECT: 30% ИБ-руководителей не успевают следить за изменениями угроз Компания iTPROTECT в рамках бизнес-ужина «В поиске оптимального киберкупажа» при поддержке «Лаборатории Касперского» провела опрос о способах быстрого ... Jatoba и TrueConf Enterprise: безопасная видеосвязь для критически важных инфраструктур Разработка отечественной компании «Газинформсервис» — защищённая система управления базами данных (СУБД) Jatoba — интегрирована с программной платформой ... UserGate представила NGFW для сложных ИКТ-инфраструктур Компания UserGate объявила о выпуске новой линейки высокопроизводительных NGFW, предназначенных для киберзащиты сложных ИКТ-инфраструктур. UserGate Data Center Firewall (DCFW ...

Deloitte: агентный ИИ может в корне изменить рабочие процессы Новый отчет Deloitte показывает, что агентный искусственный интеллект может быть ближе, чем вы думаете, сообщает портал ZDNet. Если вы пользовались чат-ботом с ИИ, то не ... Платформенный инжиниринг в 2024 году: в лучшем случае на начальном этапе Неудачи DevOps продолжают подталкивать организации к созданию команд по разработке платформ для разработчиков. Но многие из них не измеряют результаты, говорится в ... Шесть облачных тенденций, за которыми стоит следить в 2025 году Облачные стратегии продолжают меняться по мере того, как организации используют все больше сервисов. Один из главных факторов — искусственный интеллект ... Почему важно тестировать программные продукты с ИИ Искусственный интеллект уже стал частью нашей жизни: от медицинских диагнозов до работы онлайн-сервисов и банков. Но как быть уверенными, что он работает ... API-тренды 2025: фокус на разработчиках Для индустрии прикладных программных интерфейсов (API) ключ к тому, чтобы идти в ногу с тенденциями, не жертвуя основами, — это подход, ориентированный на ...

Подборка по дате

Ноябрь 2024
Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30