Критическое обновление OpenSSL!

ssl_block_1 Сотрудниками The OpenSSL Project выпущен бюллетень безопасности CVE-2014-0160, в котором сообщается о критической уязвимости в популярной криптографической библиотеке OpenSSL. Статус различных версий:

OpenSSL 1.0.1 и обновленная до 1.0.1f (включительно) уязвимы
OpenSSL 1.0.1g ИСПРАВЛЕННАЯ ВЕРСИЯ, которую нужно установить;
OpenSSL 1.0.0 не содержит уязвимости;
OpenSSL 0.9.8 не содержит уязвимости;

Ошибка была внесена в OpenSSL в декабре 2011 года, и была выпущена с релизом OpenSSL версии 1.0.1 14 марта 2012. В OpenSSL версии 1.0.1g от 7 апреля 2014 ошибка исправлена. Уязвимые версии были доступны в течении двух лет, и очень широко используются современными операционными системами. Основным фактором в распространении уязвимости стало то, что TLS версий 1.1 и 1.2 впервые появился в уязвимой версии OpenSSL (1.0.1) и рекомендации специалистов по безопасности были направлены на скорейшее использование протокола TLS 1.2 в связи с ранее известными атаками на протокол TLS (известные как BEAST). Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Некоторые дистрибутивы операционных систем, которые поставляются с потенциально уязвимой версией OpenSSL:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4;
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11;
CentOS 6.5, OpenSSL 1.0.1e-15;
Fedora 18, OpenSSL 1.0.1e-4;
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012);
FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c);
NetBSD 5.0.2 (OpenSSL 1.0.1e);
OpenSUSE 12.2 (OpenSSL 1.0.1c).

Дистрибутивы операционных систем с неуязвимой версией OpenSSL:

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS. Вы можете проверить свой веб-сайт на уязвимость filippo.io/Heartbleed/ Для всех основных дистрибутивов Linux уже выпущено необходимое обновление пакета openssl Для обновления CentOS 6 необходимо выполнить команду:

yum clean all
yum update openssl

Для установки обновления в Debian 7/Ubuntu 12.04 необходимо выполнить команду:

apt-get update
apt-get install --only-upgrade openssl  
apt-get install --only-upgrade libssl1.0.0

После обновления нужно перезапустить сервисы, которые используют эту библиотеку. Например:

service nginx restart

или

service httpd restart

для Ubuntu, Debian:

service apache2 restart

Важно: Для клиентов с услугой постоянного администрирования обновления уже произведены, поэтому им не о чем беспокоиться. Всем остальным мы настоятельно рекомендуем обновить библиотеку, либо обратиться к нам за помощью, через тикет-систему. Стоимость обновления составляет 9 евро.

	Я ознакомлен(а) с порядком регистрации и подтверждаю свое согласие на обработку персональных данных
	Я подтверждаю своё согласие на передачу информации в электронной форме заявления (в том числе персональных данных) по открытым каналам связи сети Интернет