RSS Yupo blog

Informacja dotycząca luki w bibliotece OpenSSL

10 kwietnia 2014

Informacja dotycząca luki w bibliotece OpenSSL, CVE-2014-0160

W związku z wykryciem luki w powszechnie stosowanym w Internecie oprogramowaniu OpenSSL systemy realizujące obsługę połączeń szyfrowanych w Yupo.pl zostały poddane przeglądowi. Administratorzy Yupo.pl wykonali stosowne aktualizacje oraz odpowiednie czynności profilaktyczne. Operacje zostały zakończone. W wyniku przeglądu na serwerach Yupo.pl znaleziono jeden przypadek środowiska wymagającego aktualizacji, lecz nie stwierdzono faktu nadużyć wykorzystujących wykrytą lukę. Do Użytkowników, których bezpieczeństwo mogło zostać zagrożone, wysłaliśmy indywidualne powiadomienia z zaleceniem zmiany haseł. Pozostali Użytkownicy usług Yupo.pl nie będą musieli podejmować żadnych działań.

Użytkownicy posiadający prywatny certyfikat SSL zakupiony w Yupo.pl proszeni są o upewnienie się czy klucz publiczny został wygenerowany za pomocą wolnej od błędów biblioteki OpenSSL i czy administratorzy serwisu dokonali niezbędnych aktualizacji. Zalecenie to dotyczy przypadków hostowania certyfikatu SSL poza Yupo.pl.

Opis wykrytego błędu w oprogramowaniu OpenSSL:

W Bibliotece OpenSSL, która pozwala zabez­pieczyć komunikację sieciową odbywającą się między dwoma oddalonymi aplikacjami, odnaleziono błąd programistyczny. Błąd ten może pojawić się w kom­ponen­cie odpowiedzial­nym za obsługę TLS (rozszerzenie SSL), w funk­cji roz­szerzenia Heart­beat. Heart­beat to zdefiniowany w dokumen­cie RFC6520 spo­sób pod­trzymywania połączenia bez koniecz­no­ści renegocjowania jego parametrów. Wysyłając odpowied­nio spreparowane dane wspo­mnianego protokołu, można doprowadzić do wycieku zawar­to­ści pamięci, a dokład­niej ujaw­nienia do 64 kilobaj­tów seg­mentu pamięci, który może zawierać wrażliwe dane. W konsekwencji błąd mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. W momencie wykrycia błędu została również wydana łatka bezpieczeństwa, która rozwiązuje problem wycieku pamięci.

W sprawie opisanych działań technicznych można kontaktować się z Yupo.pl wysyłając mail na adres pomoc@yupo.pl

Pozdrawiamy
Zespół Yupo.pl s.c.

Podziel się

  • Facebook
  • Twitter
  • NK
  • Wykop
  • Gadu-Gadu
  • Blogger
  • MySpace
  • RSS

Zobacz również

Spokojnych i Radosnych Świąt

Spokojnych i Radosnych Świąt

Pełnych Spokoju i Radości Świąt Bożego Narodzenia oraz pomyślnego i pełnego sukcesów Nowego 2014 Roku życzy Zespół Yupo.pl

Komunikat PayU – planowana niedostępność płatności 21.03.2013

Komunikat PayU – planowana niedostępność płatności 21.03.2013

Informujemy, że w związku z planowaną aktualizacją Systemu PayU w nocy w dniu 21. marca 2013 r. (czwartek) od godz. 2:00 do godz. 06:00 System PayU będzie niedostępny. W tym czasie nie będą rozliczane transakcje, więc opłacenie zamówionych w Yupo.pl usług nie będzie możliwe. Zamówienia w czasie niedostępności systemu płatności online będą przez system Yupo.pl

Pomóż kontynuować rejs żaglowca Fryderyk Chopin

Pomóż kontynuować rejs żaglowca Fryderyk Chopin

Pomóż kontynuować rejs żaglowca Fryderyk Chopin. Yupo.pl wspiera akcję pomocy realizowaną m.in. przez środowisko żeglarskie Warmii i Mazur. Więcej szczegółów po kliknięciu na powyższy baner lub pod linkiem Pomóż kontynuować rejs Zachęcamy do dołączenia do grona wspierających naprawę żaglowca Fryderyk Chopin. Pozdrawiamy Zespół Yupo.pl

Komunikat PayU – planowana niedostępność płatności 16.05.2013

Komunikat PayU – planowana niedostępność płatności 16.05.2013

Informujemy, że w związku z planowaną przerwą techniczną Systemu PayU w nocy ze środy na czwartek 16/17.05.2013 r. od godz. 2:00 do godz. 6:00 system płatności online będzie niedostępny. W tym czasie nie będą rozliczane transakcje, więc opłacenie zamówionych w Yupo.pl usług nie będzie możliwe. Zamówienia w czasie niedostępności systemu płatności online będą przyjmowane przez system

Strony WWW