RSS Yupo blog

Informacja dotycząca luki w bibliotece OpenSSL

10 kwietnia 2014

Informacja dotycząca luki w bibliotece OpenSSL, CVE-2014-0160

W związku z wykryciem luki w powszechnie stosowanym w Internecie oprogramowaniu OpenSSL systemy realizujące obsługę połączeń szyfrowanych w Yupo.pl zostały poddane przeglądowi. Administratorzy Yupo.pl wykonali stosowne aktualizacje oraz odpowiednie czynności profilaktyczne. Operacje zostały zakończone. W wyniku przeglądu na serwerach Yupo.pl znaleziono jeden przypadek środowiska wymagającego aktualizacji, lecz nie stwierdzono faktu nadużyć wykorzystujących wykrytą lukę. Do Użytkowników, których bezpieczeństwo mogło zostać zagrożone, wysłaliśmy indywidualne powiadomienia z zaleceniem zmiany haseł. Pozostali Użytkownicy usług Yupo.pl nie będą musieli podejmować żadnych działań.

Użytkownicy posiadający prywatny certyfikat SSL zakupiony w Yupo.pl proszeni są o upewnienie się czy klucz publiczny został wygenerowany za pomocą wolnej od błędów biblioteki OpenSSL i czy administratorzy serwisu dokonali niezbędnych aktualizacji. Zalecenie to dotyczy przypadków hostowania certyfikatu SSL poza Yupo.pl.

Opis wykrytego błędu w oprogramowaniu OpenSSL:

W Bibliotece OpenSSL, która pozwala zabez­pieczyć komunikację sieciową odbywającą się między dwoma oddalonymi aplikacjami, odnaleziono błąd programistyczny. Błąd ten może pojawić się w kom­ponen­cie odpowiedzial­nym za obsługę TLS (rozszerzenie SSL), w funk­cji roz­szerzenia Heart­beat. Heart­beat to zdefiniowany w dokumen­cie RFC6520 spo­sób pod­trzymywania połączenia bez koniecz­no­ści renegocjowania jego parametrów. Wysyłając odpowied­nio spreparowane dane wspo­mnianego protokołu, można doprowadzić do wycieku zawar­to­ści pamięci, a dokład­niej ujaw­nienia do 64 kilobaj­tów seg­mentu pamięci, który może zawierać wrażliwe dane. W konsekwencji błąd mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. W momencie wykrycia błędu została również wydana łatka bezpieczeństwa, która rozwiązuje problem wycieku pamięci.

W sprawie opisanych działań technicznych można kontaktować się z Yupo.pl wysyłając mail na adres pomoc@yupo.pl

Pozdrawiamy
Zespół Yupo.pl s.c.

Podziel się

  • Facebook
  • Twitter
  • NK
  • Wykop
  • Gadu-Gadu
  • Blogger
  • MySpace
  • RSS

Zobacz również

Komunikat PayU – planowana przerwa techniczna 2012.11.11

Komunikat PayU – planowana przerwa techniczna 2012.11.11

PayU S.A. informuje, że ze względu na planowaną przerwę techniczną Systemu PayU w nocy w niedzielę 11. listopada 2012 r. od godz. 2:00 do godz. 6:00 system transakcyjny nie będzie dostępny. W tym czasie transakcje nie będą rozliczane, przy czym opłacenie zamówionych w Yupo.pl usług nie będzie możliwe. Zamówienia w czasie niedostępności systemu płatności online

Zmiana zasad przetwarzania danych osobowych od 25.05.2018 r.

Zmiana zasad przetwarzania danych osobowych od 25.05.2018 r.

Uprzejmie informujemy, że od dnia 25.05.2018 roku ulegają zmianie polityka prywatności oraz regulamin świadczenia usług Yupo.pl. Funkcjonowanie naszych usług nie zmieni się, modyfikacje mają na celu zwiększenie przejrzystości w zakresie zbierania i przetwarzania danych osobowych. W przyjętej polityce prywatności kierujemy się zasadą minimalizmu – przetwarzamy tylko te dane, które są niezbędne do świadczenia przez nas

Komunikat PayU – planowana przerwa techniczna 2012.10.03

Komunikat PayU – planowana przerwa techniczna 2012.10.03

Partner Yupo.pl w zakresie płatności online PayU S.A. informuje, że ze względu na planowaną przerwę techniczną Systemu PayU związaną z rozbudową systemu w nocy z wtorku na środę 2/3 października 2012 r. od godz. 2:00 do godz. 4:00 część funkcjonalności systemu transakcyjnego będzie niedostępna. W tym czasie transakcje nie będą rozliczane, przy czym opłacenie zamówionych

Komunikat PayU – planowana niedostępność płatności 02.04.2014 09.04.2014 16.04.2014

Komunikat PayU – planowana niedostępność płatności 02.04.2014 09.04.2014 16.04.2014

Informujemy, że w związku z rozbudową Systemu PayU w dniach 02.04.2014r., 09.04.2014r. i 16.04.2014r. w godz. 1:00 do godz. 4:00 mogą występować przejściowe zakłócenia w rozliczaniu transakcji. Przy próbie logowania lub dokonania płatności może pojawić się komunikat o chwilowej niedostępności usługi. Zamówienia w czasie niedostępności systemu płatności online będą przyjmowane przez system Yupo.pl bez zakłóceń, a

Strony WWW