RSS Yupo blog

Informacja dotycząca luki w bibliotece OpenSSL

10 kwietnia 2014

Informacja dotycząca luki w bibliotece OpenSSL, CVE-2014-0160

W związku z wykryciem luki w powszechnie stosowanym w Internecie oprogramowaniu OpenSSL systemy realizujące obsługę połączeń szyfrowanych w Yupo.pl zostały poddane przeglądowi. Administratorzy Yupo.pl wykonali stosowne aktualizacje oraz odpowiednie czynności profilaktyczne. Operacje zostały zakończone. W wyniku przeglądu na serwerach Yupo.pl znaleziono jeden przypadek środowiska wymagającego aktualizacji, lecz nie stwierdzono faktu nadużyć wykorzystujących wykrytą lukę. Do Użytkowników, których bezpieczeństwo mogło zostać zagrożone, wysłaliśmy indywidualne powiadomienia z zaleceniem zmiany haseł. Pozostali Użytkownicy usług Yupo.pl nie będą musieli podejmować żadnych działań.

Użytkownicy posiadający prywatny certyfikat SSL zakupiony w Yupo.pl proszeni są o upewnienie się czy klucz publiczny został wygenerowany za pomocą wolnej od błędów biblioteki OpenSSL i czy administratorzy serwisu dokonali niezbędnych aktualizacji. Zalecenie to dotyczy przypadków hostowania certyfikatu SSL poza Yupo.pl.

Opis wykrytego błędu w oprogramowaniu OpenSSL:

W Bibliotece OpenSSL, która pozwala zabez­pieczyć komunikację sieciową odbywającą się między dwoma oddalonymi aplikacjami, odnaleziono błąd programistyczny. Błąd ten może pojawić się w kom­ponen­cie odpowiedzial­nym za obsługę TLS (rozszerzenie SSL), w funk­cji roz­szerzenia Heart­beat. Heart­beat to zdefiniowany w dokumen­cie RFC6520 spo­sób pod­trzymywania połączenia bez koniecz­no­ści renegocjowania jego parametrów. Wysyłając odpowied­nio spreparowane dane wspo­mnianego protokołu, można doprowadzić do wycieku zawar­to­ści pamięci, a dokład­niej ujaw­nienia do 64 kilobaj­tów seg­mentu pamięci, który może zawierać wrażliwe dane. W konsekwencji błąd mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. W momencie wykrycia błędu została również wydana łatka bezpieczeństwa, która rozwiązuje problem wycieku pamięci.

W sprawie opisanych działań technicznych można kontaktować się z Yupo.pl wysyłając mail na adres pomoc@yupo.pl

Pozdrawiamy
Zespół Yupo.pl s.c.

Podziel się

  • Facebook
  • Twitter
  • NK
  • Wykop
  • Gadu-Gadu
  • Blogger
  • MySpace
  • RSS

Zobacz również

Komunikat PayU – planowana niedostępność płatności 27.10.2013 i 29.10.2013

Komunikat PayU – planowana niedostępność płatności 27.10.2013 i 29.10.2013

Informujemy, że w związku ze zmianą czasu wystąpi planowana przerwa techniczna Systemu PayU w nocy 27.10.2013 r. od godz. 2:30 do godz. 3:30. W związku z rozbudową systemu płatności wystąpi planowana przerwa techniczna Systemu PayU w nocy 29.10.2013 r. od godz. 3:30 do godz. 6:00. W tym czasie nie będą rozliczane transakcje, co oznacza, że nie będzie

Komunikat PayU – planowana niedostępność płatności 08.01.2014

Komunikat PayU – planowana niedostępność płatności 08.01.2014

Informujemy, że w związku z rozbudową systemów informatycznych wystąpi planowana przerwa techniczna w działaniu Systemu PayU w dniu 08.01.2014 r. od godz. 4:00 do godz. 6:00. W tym czasie nie będą rozliczane transakcje, co oznacza, że nie będzie możliwe opłacenie zamówionych w Yupo.pl usług. Zamówienia w czasie niedostępności systemu płatności online będą przyjmowane przez system Yupo.pl

Spokojnych i Wesołych Świąt

Spokojnych i Wesołych Świąt

Życzymy wszystkim długich i mroźnych wieczorów światecznych.  

Zmiana zasad przetwarzania danych osobowych od 25.05.2018 r.

Zmiana zasad przetwarzania danych osobowych od 25.05.2018 r.

Uprzejmie informujemy, że od dnia 25.05.2018 roku ulegają zmianie polityka prywatności oraz regulamin świadczenia usług Yupo.pl. Funkcjonowanie naszych usług nie zmieni się, modyfikacje mają na celu zwiększenie przejrzystości w zakresie zbierania i przetwarzania danych osobowych. W przyjętej polityce prywatności kierujemy się zasadą minimalizmu – przetwarzamy tylko te dane, które są niezbędne do świadczenia przez nas

Strony WWW