Teksti suurus

Reavahe

Kontrastsus
Seaded

 

RIA palub süsteemiadministraatoritel uuendada serverite tarkvara

Eile teavitasid Soome turvaeksperdid olulisest OpenSSLi turvaveast. Nõrkuse kaudu on võimalik ligi saada näiteks serveri või kliendi võtmele, kasutajate paroolidele, edastatud (krüpteeritud) sisule jms. Reeglina ei jää turvavea ärakasutamisest jälge teenust osutava serveri logidesse.

Turvavea heartbleed sümbolKui server on turvaveaga, tuleb kohe uuendada serveri tarkvara.

Teenused, mis võivad olla ohustatud:

  • veebiserverid, mis kasutavad avatud tarkvara nagu Apache ja nginx,
  • e-post (SMTP, POP ja IMAP protokollid),
  • suhtlusserverid (XMPP protokoll),
  • virtuaalprivaatvõrgud (SSL VPN),
  • võrguseadmed,
  • mitmesugune klienditarkvara.

Et tagantjärele pole võimalik potentsiaalse kahju ulatust kindlaks teha, on otstarbekas genereerida serverile uus privaatvõti ja hankida sellega kaasnev uus sertifikaat, samuti algatada teenuse kõigi kasutajate paroolide vahetamine.

Eesti serveritest on veaga umbes viis protsenti, nende parandamisega tegeletakse aktiivselt.

Lisainfot leiab veebilehelt http://heartbleed.com/.

Juba on ilmunud SSL bugi testimiseks ka esimesed avalikud bugiskännerid, sh näiteks selline veebileht: http://filippo.io/Heartbleed/. Soovitame seda kasutada eelkõige järelkontrolliks siis, kui oled oma serveri tarkvara juba parandanud. Veel parandamata serverit me testida ei soovita, sest pole teada, kes veel info saab.

Teema: CERT, Küberturve

Lisatud 09.04.2014

Tagasi lehele "Uudised"