Klargörande runt säkerhetsproblemet vi rapporterade om igår
Igår skickade vi ut ett meddelande till kunder och konsulter beträffande en bugg i Open SSL, där vi rekommenderade att kunder med Kerio Connect 8.2, 8.2.1, 8.2.2 och 8.2.3 skall uppdatera sin Kerio Connect Server till version 8.2.4 för att skydda sig mot denna bugg. Meddelandet var kortfattat, och vi vill gärna passa på att förklara lite mer vad det rör sig om:
På en skala 1 till 10 är detta 11…
Låt oss börja med att tala om Open SSL; detta är en säkerhetskomponent som används av en mängd program och tjänster på internet, däribland Kerio Connect. I måndags upptäckte en grupp säkerhetsingenjörer (Riku, Antti och Matti) vid Codenomicon och Neel Mehta på Google Security att det fanns ett säkerhetshål i Open SSL. Säkerhetshålet döptes till Heartbleed (det officiella namnet är CVE-2014-0160) och gör det möjligt för illasinnade individer/organisationer att hämta information från program och tjänster, som baserar sin säkerhet på denna teknik, utan att lämna några spår.
Eftersom detta är en säkerhetsfunktion som används av 100-tusentals tjänster på internet (det inte bara Kerio-produkter som är drabbade) gör detta till den största kända säkerhetsläcka som drabbat internet hittills.
Bruce Schneier - välrenommerad säkerhetsexpert med datasäkerhet som specialitet - skriver så här:
”Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.”
- Läs hela artikeln här: https://www.schneier.com/blog/archives/2014/04/heartbleed.html
- Läs även mer om säkerhetshålet här: https://heartbleed.com
Denna bugg har enligt artiklarna funnits i OpenSSL i drygt två år utan att någon upptäckt den, men nu är den avslöjad och det är dags att uppgradera de produkter som innehåller Open SSL, så att säkerhetshålet tätas igen.
– Därför såg vi det som viktigt att gå ut med information om att det var viktigt att täta säkerhetshålet.
|
0 Comments