Hearbleed-bugg del 2



 
Open SSL Bug - HeartBleed

Klargörande runt säkerhetsproblemet vi rapporterade om igår

Igår skickade vi ut ett meddelande till kunder och konsulter beträffande en bugg i Open SSL, där vi rekommenderade att kunder med Kerio Connect 8.2, 8.2.1, 8.2.2 och 8.2.3 skall uppdatera sin Kerio Connect Server till version 8.2.4 för att skydda sig mot denna bugg. Meddelandet var kortfattat, och vi vill gärna passa på att förklara lite mer vad det rör sig om:

 

På en skala 1 till 10 är detta 11…

Låt oss börja med att tala om Open SSL; detta är en säkerhetskomponent som används av en mängd program och tjänster på internet, däribland Kerio Connect. I måndags upptäckte en grupp säkerhetsingenjörer (Riku, Antti och Matti) vid Codenomicon och Neel Mehta på Google Security att det fanns ett säkerhetshål i Open SSL. Säkerhetshålet döptes till Heartbleed (det officiella namnet är CVE-2014-0160) och gör det möjligt för illasinnade individer/organisationer att hämta information från program och tjänster, som baserar sin säkerhet på denna teknik, utan att lämna några spår.

 

Eftersom detta är en säkerhetsfunktion som används av 100-tusentals tjänster på internet (det inte bara Kerio-produkter som är drabbade) gör detta till den största kända säkerhetsläcka som drabbat internet hittills.

Bruce Schneier - välrenommerad säkerhetsexpert med datasäkerhet som specialitet - skriver så här:

 

”Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.”

 

- Läs hela artikeln här: https://www.schneier.com/blog/archives/2014/04/heartbleed.html

- Läs även mer om säkerhetshålet här: https://heartbleed.com

 

Denna bugg har enligt artiklarna funnits i OpenSSL i drygt två år utan att någon upptäckt den, men nu är den avslöjad och det är dags att uppgradera de produkter som innehåller Open SSL, så att säkerhetshålet tätas igen. 

–  Därför såg vi det som viktigt att gå ut med information om att det var viktigt att täta säkerhetshålet.
Så, hur gör jag nu?

Kerio Connect, Kerio Control och Kerio Operator

Uppdateringar finns för Kerio Connect och Kerio Operator. En uppdaterig för Kerio Control väntas inom kort. Ni kan hämta uppdatering samt läsa hur man uppgaderar här:

http://kb.kerio.com/article.php?id=1585

 

CrashPlan PROe

CrashPlan klient, CrashPlan Mobil app, SharePlan app, SharePlan Mobil app och Administrationskonsol använder sig av säkerhetstekniker som inte påverkas av säkerhetshålet Heartbleed (CVE-2014-0160).

 

Har ni frågor, kontakta gärna vår support: moreware.zendesk.com

eller via e-post: support@moreware.se
Räcker det med att ha tätat läckan?

Tyvärr inte. På grund av säkerhetsläckans natur, rekommenderar Kerio att ni, som en säkerhetsåtgärd, utgår ifrån att era lösenord har blivit komprometterade och att ni därför skall;

  1. Byta ut eller uppdatera ert SSL-certifikat i Kerio Connect.Gå till http://kb.kerio.com/1132 för en beskrivning på hur man gör detta.

  2. Byta ut samtliga användares kontolösenord samt övriga lösenord som används av i Kerio Connect, inklusive Active Directory, Open Directory, POP3 nedladdningslösenord (om ni använder det), SMTP relay lösenord (om ni använder detta), HTTP proxy lösenord (om använder det) samt administration password.(Glöm inte att byta på andra platser där ni använder samma lösenord som ni använt för inloggning i Kerio Connect.)

     

    Om du är nyfiken kan du testa din server efter att ni har tätat läckan.

    Gå hit för att testa: http://filippo.io/Heartbleed/

     

    Hälsningar

     

    Moreware
Mats Vilhelmsson -
Have more questions? Submit a request

0 Comments

Please sign in to leave a comment.
Powered by Zendesk