RSS Yupo blog

Informacja dotycząca luki w bibliotece OpenSSL

10 kwietnia 2014

Informacja dotycząca luki w bibliotece OpenSSL, CVE-2014-0160

W związku z wykryciem luki w powszechnie stosowanym w Internecie oprogramowaniu OpenSSL systemy realizujące obsługę połączeń szyfrowanych w Yupo.pl zostały poddane przeglądowi. Administratorzy Yupo.pl wykonali stosowne aktualizacje oraz odpowiednie czynności profilaktyczne. Operacje zostały zakończone. W wyniku przeglądu na serwerach Yupo.pl znaleziono jeden przypadek środowiska wymagającego aktualizacji, lecz nie stwierdzono faktu nadużyć wykorzystujących wykrytą lukę. Do Użytkowników, których bezpieczeństwo mogło zostać zagrożone, wysłaliśmy indywidualne powiadomienia z zaleceniem zmiany haseł. Pozostali Użytkownicy usług Yupo.pl nie będą musieli podejmować żadnych działań.

Użytkownicy posiadający prywatny certyfikat SSL zakupiony w Yupo.pl proszeni są o upewnienie się czy klucz publiczny został wygenerowany za pomocą wolnej od błędów biblioteki OpenSSL i czy administratorzy serwisu dokonali niezbędnych aktualizacji. Zalecenie to dotyczy przypadków hostowania certyfikatu SSL poza Yupo.pl.

Opis wykrytego błędu w oprogramowaniu OpenSSL:

W Bibliotece OpenSSL, która pozwala zabez­pieczyć komunikację sieciową odbywającą się między dwoma oddalonymi aplikacjami, odnaleziono błąd programistyczny. Błąd ten może pojawić się w kom­ponen­cie odpowiedzial­nym za obsługę TLS (rozszerzenie SSL), w funk­cji roz­szerzenia Heart­beat. Heart­beat to zdefiniowany w dokumen­cie RFC6520 spo­sób pod­trzymywania połączenia bez koniecz­no­ści renegocjowania jego parametrów. Wysyłając odpowied­nio spreparowane dane wspo­mnianego protokołu, można doprowadzić do wycieku zawar­to­ści pamięci, a dokład­niej ujaw­nienia do 64 kilobaj­tów seg­mentu pamięci, który może zawierać wrażliwe dane. W konsekwencji błąd mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. W momencie wykrycia błędu została również wydana łatka bezpieczeństwa, która rozwiązuje problem wycieku pamięci.

W sprawie opisanych działań technicznych można kontaktować się z Yupo.pl wysyłając mail na adres pomoc@yupo.pl

Pozdrawiamy
Zespół Yupo.pl s.c.

Podziel się

  • Facebook
  • Twitter
  • NK
  • Wykop
  • Gadu-Gadu
  • Blogger
  • MySpace
  • RSS

Zobacz również

Komunikat PayU

Komunikat PayU

Partner Yupo.pl w zakresie płatności online PayU S.A. informuje, że w związku z planowaną przerwą techniczną Systemu Platnosci.pl w nocy w dniu 04. sierpnia 2011 r. (czwartek) od godz. 1:00 do godz. 05:00 System Platnosci.pl będzie niedostępny. W tym czasie nie będą rozliczane transakcje, więc opłacenie zamówionych w Yupo.pl usług nie będzie możliwe. Zamówienia w czasie

Komunikat PayU – planowana niedostępność płatności 18.10.2016

Komunikat PayU – planowana niedostępność płatności 18.10.2016

PayU S.A. informuje o planowanej przerwie technicznej systemu PayU związanej z konserwacją systemów informatycznych. W nocy 18 października 2016 r. od godz. 02:00 do godz. 06:00 system PayU nie będzie dostępny. W tym czasie nie będzie możliwe logowanie się do serwisu i nie będą rozliczane transakcje. Przy próbie logowania lub dokonania płatności może pojawić się

Komunikat PayU – planowana niedostępność płatności 21.03.2013

Komunikat PayU – planowana niedostępność płatności 21.03.2013

Informujemy, że w związku z planowaną aktualizacją Systemu PayU w nocy w dniu 21. marca 2013 r. (czwartek) od godz. 2:00 do godz. 06:00 System PayU będzie niedostępny. W tym czasie nie będą rozliczane transakcje, więc opłacenie zamówionych w Yupo.pl usług nie będzie możliwe. Zamówienia w czasie niedostępności systemu płatności online będą przez system Yupo.pl

Zmiany w cenniku domen – 2013.07.12

Zmiany w cenniku domen – 2013.07.12

Informujemy, że w ramach łączenia działu hostingowego Pro-Hosting.pl z Yupo.pl ceny odnowień domen dla Użytkowników Pro-Hosting.pl zostały obniżone do cen z cennika Yupo.pl. Cena odnowienia domeny .eu została w cenniku Yupo.pl obniżona do 40,- PLN netto. Odnawianie domen i zarządzanie ustawieniami (delegacja, zmiana danych) dla Użytkowników Pro-Hosting.pl są dostępne z poziomu Panelu Usług Yupo.pl. Pozdrawiamy

Strony WWW