Heartbleed Bug: Comodo uppmanar OpenSSL-användare att använda patch

Läsningstid: 3 minuter

Som svar på en rapporterad sårbarhet i det populära OpenSSL kryptografiska biblioteket uppmanar Comodo sina kunder, partners och alla användare av OpenSSL att ansöka nyligen korrigerade uppdateringar Så snart som möjligt. Comodo kommer att arbeta med kunder, partners, plattformsleverantörer och tjänsteleverantörer för att säkerställa att berörda parter blir fullt medvetna om problemet under de kommande dagarna och att kundsystem uppdateras med den fasta versionen av OpenSSL.

Även om sårbarheten inte är direkt relaterad till Comodos certifikat och nycklar, bör certifikat som genererats med påverkade versioner av OpenSSL återkallas och ersättas. Comodo kommer att säkerställa att kunderna snabbt och enkelt kan skaffa ett certifikat återutfärdande efter patchning deras OpenSSL.

Vem är sårbar?

Denna fråga är endast ett problem om du har installerat OpenSSL 1.0.1 till 1.0.1f och OpenSSL 1.0.2-beta. Allt annat SSL implementeringar och digitalt certifikat användare påverkas inte, inklusive alla användare av Microsofts IIS-webbserver.

Om du inte är säker på om du är drabbad har Comodo uppdaterat sitt SSL-analysverktyg för dig att kontrollera. Ange bara din adress på följande sida:
https://sslanalyzer.comodoca.com/heartbleed.html.

Obs: Ange endast domäner som använder SSL. Om den här sidan är upptagen kan du också använda https://sslanalyzer.comodoca.com/

Om du är sårbar kommer Comodo att arbeta med dig för att säkerställa att dina system uppdateras med den fasta versionen av OpenSSL. Vi hjälper dig att snabbt och enkelt skaffa en återutgivning av certifikat som kan krävas som ett resultat av patchning av OpenSSL. Ring +1 888-256-2608 eller mejla: Enterprisesolutions@comodo.com att prata med en Enterprise SSL-expert.

Vad är sårbarheten?

En sårbarhet i OpenSSL kan tillåta en fjärrangripare att avslöja känslig data, eventuellt inklusive användarautentiseringsuppgifter och hemliga nycklar, genom felaktig minneshantering i TLS heartbeat-tillägget. Denna brist tillåter en fjärrangripare att hämta privat minne från en applikation som använder det sårbara OpenSSL-biblioteket i bitar av 64k åt gången.

Upptäckten av Heartbleed

Heartbleed-felet upptäcktes av en grupp säkerhetsingenjörer från Codenomicon och Neel Mahta från Google Security. Den 7 april 2014 tillkännagav de sårbarhet i det populära OpenSSL kryptografiska biblioteket för Internetgemenskapen. Lämpligt märkt som Heartbleed-buggen, den här sårbarheten påverkar OpenSSL versionerna 1.0.1 till och med 1.0.1f (inklusive).

Det är viktigt att förstå att Heartbleed bugg inte är ett fel i SSL- eller TLS-protokollen; snarare är det ett fel i OpenSSL-implementeringen av TLS/DTLS hjärtslagsfunktionalitet. Felet är inte relaterat till eller introducerat av offentligt betrodda certifikat och är istället ett problem med serverprogramvara.

För att uppgradera din server

Kontrollera din pakethanterare efter ett uppdaterat OpenSSL-paket och installera det. Om du inte har ett uppdaterat OpenSSL-paket, kontakta din tjänsteleverantör för att skaffa den senaste versionen av OpenSSL och installera den.

lösningar

Använd endast dessa lösningar om du inte kan uppgradera till den senaste versionen av OpenSSL. Om du inte kan uppgradera till den senaste OpenSSL-versionen, gör något av följande:

• Återställ till OpenSSL version 1.0.0 eller tidigare.
• Kompilera om OpenSSL med flaggan OPENSSL_NO_HEARTBEATS.

För att omnyckel, återutfärda och återkalla dina certifikat

Först måste du nyckelnyckel och återutfärda dina certifikat, vilket du gör genom att skapa ett nytt nyckelpar och Certificate Signing Request (CSR). För att ersätta ditt certifikat, gör följande:

1. Logga in på ditt konto via https://secure.comodo.com
2. Klicka på SSL-certifikat
3. Hitta det certifikat du vill ersätta/utfärda på nytt och klicka ersätta
4. Följ alla instruktioner på skärmen.

När du har ersatt ditt nya certifikat måste du återkalla det gamla. För att göra detta, logga in på ditt konto som tidigare, klicka på 'SSL certifikat', lokalisera *gamla* certifikatbeställning och klicka på länken "Återkalla".

Återigen, tveka inte att kontakta support@comodo.com om du behöver hjälp med detta.

PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS