Błąd Heartbleed – poważna luka bezpieczeństwa w bibliotekach OpenSSL

7 kwietnia 2014 roku w OpenSSL (wersja 1.0.1 i OpenSSL beta 1.0.2)* wykryty został błąd o nazwie Heartbleed.

Jako lider bezpieczeństwa IT rekomendujemy naszym klientom, którzy używali ww. wersji bibliotek OpenSSL, zastosowanie poniższych kroków:

  1. Należy zweryfikować posiadaną wersję aplikacji OpenSSL, która jest obecnie zainstalowana na serwerze i dokonać aktualizacji do wersji, która nie jest podatna na wyżej opisany atak.
  2. Zalecamy także zmianę haseł użytkowników we wszystkich usługach zabezpieczonych usługami SSL.
  3. Komplementarnym środkiem ochrony jest wymiana certyfikatu SSL (wymagane jest użycie nowego klucza prywatnego) po aktualizacji aplikacji OpenSSL.

Informujemy, że wykryte zagrożenie wystąpiło po stronie dostawcy oprogramowania OpenSSL, a więc w żaden sposób nie narusza bezpieczeństwa oraz zaufania usług świadczonych przez Certum PCC.

Dodatkowe informacje o luce bezpieczeństwa

OpenSSL to popularna biblioteka kryptograficzna open source, używana przez wiele stron WWW do szyfrowanego przesyłania danych do i z serwera. Wysokie prawdopodobieństwo używania bibliotek OpenSSL istnieje w przypadku użytkowania oprogramowania Nginx lub Apache. Heartbleed to podatność na poziomie platformy serwerowej, na której wykorzystywany jest certyfikat SSL. Luka mogła umożliwić pozyskanie przez osoby nieupoważnione klucza prywatnego, używanego przez serwer do szyfrowania ruchu, a także do innych danych, które aktualnie znajdowały się w pamięci wykorzystywanej przez serwer WWW. Wykrycie błędu przez administratora i określenie, czy klucz prywatny danego serwera (lub inne dane) nie zostały przechwycone przez osoby nieuprawnione, nie było możliwe – atak nie pozostawiał żadnych śladów.

W przypadku podjęcia decyzji o zmianie certyfikatu SSL, Certum PCC oferuje bezpłatne wsparcie swoim klientom, dotkniętych błędem Heartbleed. W celu uzyskania szczegółowych informacji na temat wymiany certyfikatu, prosimy o kontakt drogą mailową na adres: infolinia@certum.pl.

Nasi konsultanci są do dyspozycji w dniach roboczych (pn.-pt.) w godzinach 6:00-18:00.

* OpenSSL – więcej informacji na stronie: www.openssl.org.

Szanowna Użytkowniczko/Szanowny Użytkowniku

Zgodnie z art. 13 ust. 1 i 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r (zwanego dalej „Rozporządzenie”) informuję, iż:

  • Administratorem Pani/Pana danych osobowych jest Asseco Data Systems S.A. z siedzibą w Gdyni, ul. Podolska 21, 81-321 Gdynia;
  • Kontakt do Inspektora ochrony danych w Asseco Data Systems S.A. można uzyskać pod adresem e – mail: IOD@assecods.pl, tel.+48 42 675 63 60.
  • Pani/Pana dane osobowe przetwarzane będą w celu:
    1. przygotowania odpowiedzi na zapytanie na podstawie art. 6 ust. 1 lit. b Rozporządzenia.
    2. przesyłania informacji marketingowych za pomocą środków komunikacji elektronicznej i programów automatyzujących na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i w zw. z art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. prawa telekomunikacyjnego (zgoda alternatywna) na podstawie art. 6 ust. 1 lit. a Rozporządzenia.
  • Pani/Pana dane osobowe będą przechowywane przez okres niezbędny do przygotowania i przedstawienia odpowiedzi na zapytanie oraz do czasu cofnięcia przez Panią/Pana wyrażonej zgody na otrzymywanie informacji marketingowych.
  • Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia/zapomnienia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Realizację wszystkich powyższych praw można zrealizować poprzez wniosek złożony na stronie https://www.daneosobowe.assecods.pl
  • Ma Pani/Pan prawo wniesienia skargi do Regulatora, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy Rozporządzenia.
  • Podanie przez Pana/Panią danych osobowych jest niezbędne do realizacji wniosku z zapytaniem. Jest Pan/Pani zobowiązana do ich podania, a konsekwencją niepodania danych osobowych będzie brak możliwości uzyskania odpowiedzi na wysłane zapytanie.
  • Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach przetwarzania danych osobowych podanych przy utworzeniu Konta i uzupełnianiu danych w nim zawartych oraz danych dotyczących aktywności w Serwisach (zgodnie z Polityką prywatności serwisu internetowego Asseco Data Systems S.A. Polityka prywatności)
    i aktywności związanej z naszą komunikacją mailową z Panią/Panem, a efektem takiego przetwarzania będzie dopasowanie informacji marketingowych dotyczących naszych produktów i usług, które mogą Panią/Pana zainteresować.
Polityka prywatności
Wielkość czcionki