HeartBleed Openssl

Добрый день. Скорее всего вы уже слышали о недавной уязвимости в библиотеке OpenSSL HeartBleed, которая была признана одной из самых опасных уязвимостей за последние несколько лет. Мы решили дополнительно проинформировать наших пользователей и дать инструкцию к действию

Если кому-то лень читать - мы предприняли заранее все меры, чтобы наши клиенты были в безопасности, и повода волноваться нет. Если кто-то хочет узнать подробнее:

1) Угрожала ли уязвимость HeartBleed моему сайту, стоит ли менять пароли.

Кратко: вероятность и необходимость крайне мала. На данный момент угрозы нет, сразу после того, как об уязвимости стало известно, мы обновили библиотеку, и использовали до этого версию CentOS, которая (по счастливой случайности) уязвимости была не подвержена. Кроме того, благодаря принципу виртуального хостинга (1 сервер/ip - много сайтов), если кто-то из клиентов и использовал сайт на 443 порте, то лишь для тестовых целей. Конечно, библиотеку openssl использовали и другие сервисы, но сама вероятность использования такой угрозы - ничтожна

Мы оценили угрозу, и решили, что менять пароли всем пользователям нет необходимости, неудобств это создаст больше, чем решит проблем. Но тем не менее мы рекомендуем поменять пароль самостоятельно, если вы хотите ощущать себя спокойнее (читайте пункт 2).

Что делать?

Мы рекомендуем на всякий случай поменять пароли для аккаунта, email-ов и прочих сервисов самостоятельно. Сделать можно это из панели DirectAdmin (Change Password)

2) Обошла ли эта уязвимость меня стороной.

Кратко: скорее всего вас она коснулась в других сферах (не связанных с нашим хостингом)

Этой уязвимости были подвержены большинство защищенных веб-сайтов. Дело в том, что большинство сайтов работает на ОС Linux, а значит сервисы так или иначе были подвержены уязвимости HeartBleed OpenSSL. Если у вас есть аккаунт Facebook, Instagramm, Google, интернет-банк от какого-либо банка - необходимо поменять к ним пароли. Стоит понимать, что, к примеру, вашу личную почту вряд ли кто-то стал бы читать, а вот доступ от интернет-банкинга вашего банка с большой долей вероятности злоумышленники получить бы хотели (и есть ненулевая вероятность, что они просто проверяли какой-либо банк на уязвимость, пытаясь скомпроментировать доступ всех пользователей, включая и ваш тоже). Поэтому если смену пароля от странички в соц сети можно отложить на потом, то поменять данные для доступа к вашему личному счету стоит в первую очередь

К сожалению, многие банки не сделали никаких шагов для исправления уязвимости. Если вы пользуетесь сервисом, в безопасности которого сомневаетесь - дайти разработчикам ссылку на эту страничку http://rega.com.ua/news/2014/04/14/openssl-heatrbleed-11.html

Что делать?

Постарайтесь поменять пароли ко всем важным аккаунтам, особенно от банковских счетов. На случай, если вы используете один пароль везде - данное действие обязательно.

3) Список уязвимых систем (для опытных пользователей)

Вы можете проверить, не используете ли вы уязвимую версию системы

После обновления, необходимо перезапустить все службы, зависящие от OpenSSL. Если вы не уверены, как это сделать - лучше перезагрузить сервер полностью

4) Где узнать подробности об уязвимости HeartBleed?

Если у вас возникнут вопросы, обращайтесь, с радостью поможем rega.com.ua