RSS Yupo blog

Informacja dotycząca luki w bibliotece OpenSSL

10 kwietnia 2014

Informacja dotycząca luki w bibliotece OpenSSL, CVE-2014-0160

W związku z wykryciem luki w powszechnie stosowanym w Internecie oprogramowaniu OpenSSL systemy realizujące obsługę połączeń szyfrowanych w Yupo.pl zostały poddane przeglądowi. Administratorzy Yupo.pl wykonali stosowne aktualizacje oraz odpowiednie czynności profilaktyczne. Operacje zostały zakończone. W wyniku przeglądu na serwerach Yupo.pl znaleziono jeden przypadek środowiska wymagającego aktualizacji, lecz nie stwierdzono faktu nadużyć wykorzystujących wykrytą lukę. Do Użytkowników, których bezpieczeństwo mogło zostać zagrożone, wysłaliśmy indywidualne powiadomienia z zaleceniem zmiany haseł. Pozostali Użytkownicy usług Yupo.pl nie będą musieli podejmować żadnych działań.

Użytkownicy posiadający prywatny certyfikat SSL zakupiony w Yupo.pl proszeni są o upewnienie się czy klucz publiczny został wygenerowany za pomocą wolnej od błędów biblioteki OpenSSL i czy administratorzy serwisu dokonali niezbędnych aktualizacji. Zalecenie to dotyczy przypadków hostowania certyfikatu SSL poza Yupo.pl.

Opis wykrytego błędu w oprogramowaniu OpenSSL:

W Bibliotece OpenSSL, która pozwala zabez­pieczyć komunikację sieciową odbywającą się między dwoma oddalonymi aplikacjami, odnaleziono błąd programistyczny. Błąd ten może pojawić się w kom­ponen­cie odpowiedzial­nym za obsługę TLS (rozszerzenie SSL), w funk­cji roz­szerzenia Heart­beat. Heart­beat to zdefiniowany w dokumen­cie RFC6520 spo­sób pod­trzymywania połączenia bez koniecz­no­ści renegocjowania jego parametrów. Wysyłając odpowied­nio spreparowane dane wspo­mnianego protokołu, można doprowadzić do wycieku zawar­to­ści pamięci, a dokład­niej ujaw­nienia do 64 kilobaj­tów seg­mentu pamięci, który może zawierać wrażliwe dane. W konsekwencji błąd mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. W momencie wykrycia błędu została również wydana łatka bezpieczeństwa, która rozwiązuje problem wycieku pamięci.

W sprawie opisanych działań technicznych można kontaktować się z Yupo.pl wysyłając mail na adres pomoc@yupo.pl

Pozdrawiamy
Zespół Yupo.pl s.c.

Podziel się

  • Facebook
  • Twitter
  • NK
  • Wykop
  • Gadu-Gadu
  • Blogger
  • MySpace
  • RSS

Zobacz również

Komunikat PayU – planowana przerwa techniczna 2012.10.03

Komunikat PayU – planowana przerwa techniczna 2012.10.03

Partner Yupo.pl w zakresie płatności online PayU S.A. informuje, że ze względu na planowaną przerwę techniczną Systemu PayU związaną z rozbudową systemu w nocy z wtorku na środę 2/3 października 2012 r. od godz. 2:00 do godz. 4:00 część funkcjonalności systemu transakcyjnego będzie niedostępna. W tym czasie transakcje nie będą rozliczane, przy czym opłacenie zamówionych

Pomóż kontynuować rejs żaglowca Fryderyk Chopin

Pomóż kontynuować rejs żaglowca Fryderyk Chopin

Pomóż kontynuować rejs żaglowca Fryderyk Chopin. Yupo.pl wspiera akcję pomocy realizowaną m.in. przez środowisko żeglarskie Warmii i Mazur. Więcej szczegółów po kliknięciu na powyższy baner lub pod linkiem Pomóż kontynuować rejs Zachęcamy do dołączenia do grona wspierających naprawę żaglowca Fryderyk Chopin. Pozdrawiamy Zespół Yupo.pl

Komunikat PayU – planowana niedostępność płatności 13.06.2013

Komunikat PayU – planowana niedostępność płatności 13.06.2013

Informujemy, że w związku z planowaną przerwą techniczną Systemu PayU w nocy 13.06.2013 r. od godz. 2:00 do godz. 6:00 system płatności online będzie niedostępny. W tym czasie nie będą rozliczane transakcje, co oznacza, że nie będzie możliwe opłacenie zamówionych w Yupo.pl usług. Zamówienia w czasie niedostępności systemu płatności online będą przyjmowane przez system Yupo.pl bez

Prace techniczne w Yupo.pl – 2012.08.02

Prace techniczne w Yupo.pl – 2012.08.02

Informujemy, że w dniu 02.08.2012 (czwartek) od godziny 20.00 do 22.00 będą prowadzone prace techniczne związane z uruchomieniem dodatkowego bloku zasilania awaryjnego. Ze względu na prowadzenie prac w obszarze pomiędzy generatorem awaryjnym a zasilaczami awaryjnymi może istnieć potrzeba czasowego wyłączenia niektórych serwerów. W związku z tym w podanym czasie mogą wystąpić czasowe utrudnienia w dostępie

Strony WWW