Vigyázat linuxosok: Sérülékenység az OpenSSL-ben
A tegnapi napon egy, már több éve létező sérülékenységet fedeztek fel az OpenSSL kriptográfiai csomagban. Ez az összetevő megtalálható a legtöbb Linux disztribúcióban, és számos más hálózati szolgáltatás is használja. A sérülékenység kihasználásával a támadó az OpenSSL-t használó rendszer memóriájához hozzáférhet, és abból 64 KB-os darabokban szenzitív információkat (akár privát kulcsokat) szerezhet meg.
OpenSSL 1.0.1f és 1.0.2-beta1, valamint az ennél régebbi verziók
Javaslat:
- Az OpenSSL mielőbbi frissítése 1.0.1g verzióra, valamint tanúsítvány és kulcscsere az érintett rendszereken.
- Amennyiben saját fordítású OpenSSL-t használ, úgy újrafordítás a következő paraméterrel: -DOPENSSL_NO_HEARTBEATS
"Hasonló esetek megelőzésére javasoljuk továbbá, hogy privát kulcsait HSM-ben tárolja, mert a fenti módszerrel azok nem szerezhetők meg, továbbra is védettek maradnak" - mondta el Kovács Tamás, a Noreg műszaki igazgatója.
Részletesebb információ: https://www.openssl.org/news/secadv_20140407.txt
Kapcsolódó cikkek
- Az adathalász támadások harmada a pénzünkre pályázik
- Fontos beállítások tilthatók le illetéktelenül az iOS 7.1 biztonsági rése miatt
- Egy archívumkezelő szoftver sérülékenységére figyelmeztet a Kormányzati Eseménykezelő Központ
- Újabb tömeges adatlopást tártak fel Németországban
- Hanyagságra figyelmeztettek a szabadalmi hivatalt kifosztó adathalászok
- A vállalatok jobban tartanak saját alkalmazottaiktól, mint a hackerektől
- Kaspersky Lab: a TOR-hálózat valóban biztonságos és nem feltétlenül rossz
- Hackerek ostromolják a Kreml és az orosz jegybank honlapját
- Pénzt kérnek a hackerek, hogy visszakapjuk letiltott adatainkat
- Több százezer Wifi routert törtek fel - ellenőrizze beállításait!
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.