Компания
270,77
рейтинг
10 апреля 2014 в 20:36

Разработка → Heartbleed: что говорят вендоры

Пока индустрия, в целом, отходит от удара, нанесенного ей Heartbleed, отдельные компании выпустили свои пресс-релизы и комментарии, в которых разъясняют свою причастность к сабжу. Ниже дана справка по известным вендорам в кратком виде.

Сервис: Facebook
Затронут уязвимостью: неясно
Нужно сменить пароль?: Да. We added protections for Facebook’s implementation of OpenSSL before this issue was publicly disclosed. We haven’t detected any signs of suspicious account activity, but we encourage people to… set up a unique password.

Сервис: Tor
Затронут уязвимостью: косвенно, через другие серверы
Нужно сменить пароль?: зависит от целевого сервера. If you need strong anonymity or privacy on the Internet, you might want to stay away from the Internet entirely for the next few days while things settle.
Детальнее см. https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

Сервис: LinkedIn
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. We didn't use the offending implementation of OpenSSL in www.linkedin.com or www.slideshare.net. As a result, HeartBleed does not present a risk to these web properties.

Сервис: Tumblr
Затронут уязвимостью: да
Нужно сменить пароль?: да. We have no evidence of any breach and, like most networks, our team took immediate action to fix the issue.

Сервис: Twitter
Затронут уязвимостью: неясно
Нужно сменить пароль?: неясно. On 4/7/2014 we were made aware of a critical vulnerability in OpenSSL (CVE-2014-0160), the security library that is widely used across the internet and at Twitter. We were able to determine that twitter.com and api.twitter.com servers were not affected by this vulnerability.

Сервис: Apple
Затронут уязвимостью: неясно
Нужно сменить пароль?: неясно.

Сервис: Amazon
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. Amazon.com is not affected.

Сервис: Google
Затронут уязвимостью: да
Нужно сменить пароль?: Лучше изменить. We have assessed the SSL vulnerability and applied patches to key Google services.

Сервис: Microsoft
Затронут уязвимостью: нет
Нужно сменить пароль?: Нет. Microsoft services were not running OpenSSL, according to LastPass.

Сервис: Yahoo
Затронут уязвимостью: да
Нужно сменить пароль?: да. As soon as we became aware of the issue, we began working to fix it… and we are working to implement the fix across the rest of our sites right now.

Сервис: eBay
Затронут уязвимостью: неясно
Нужно сменить пароль?: неясно. The vast majority of our services were not impacted and our users can continue to shop securely on our marketplace.

Сервис: GoDaddy
Затронут уязвимостью: да
Нужно сменить пароль?: да. We’ve been updating GoDaddy services that use the affected OpenSSL version.
Детальнее см. godaddyblog.com/open-ssl-heartbleed-weve-patched-servers.

Сервис: PayPal
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. Your PayPal account details were not exposed in the past and remain secure.
Детальнее см. www.paypal-community.com/t5/PayPal-Forward/OpenSSL-Heartbleed-Bug-PayPal-Account-Holders-are-Secure/ba-p/797568

Сервис: Dropbox
Затронут уязвимостью: да
Нужно сменить пароль?: да. We’ve patched all of our user-facing services & will continue to work to make sure your stuff is always safe.

Сервис: Evernote
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. Evernote's service, Evernote apps, and Evernote websites… all use non-OpenSSL implementations of SSL/TLS to encrypt network communications.
Детальнее см. discussion.evernote.com/topic/56287-heartbleed.

Сервис: SoundCloud
Затронут уязвимостью: да
Нужно сменить пароль?: да. We will be signing out everyone from their SoundCloud accounts… and when you sign back in, the fixes we’ve already put in place will take effect.

Источник: http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/#:eyJzIjoiZiIsImkiOiJfYzB3YTB6ZDlva3Q1cHhlZCJ9

См. информацию по Cisco, Fortinet, Novell, OpenVPN, redhat и др.
http://isc.sans.edu/diary/Heartbleed+vendor+notifications/17929
Автор: @esetnod32
ESET NOD32
рейтинг 270,77

Комментарии (33)

  • +1
    Еще для CloudFlare, если кому важно.
  • –4
    Сайт ReactOS, затронут уязвимостью, нужно сменить пароль. Сертификат сервера сменен на новый. Но нет никаких свидетельств подозрительной активности.
  • +1
    Для чайника поясните, если есть двухэтапная авторизация, то имеет смысл менять пароль или нет?
    • 0
      Вроде как, если угнали сессию, то все печально. Но не уверен.
      • 0
        Некоторые сервисы привязывают сессию к IP, а некоторые нет. Решайте сами, DenimTornado, менять вам пароль, или нет, ваши GET и POST-запросы могли быть переданы в незашифрованном виде злоумышленникам.
        • 0
          Ну на самых важных сервисах поменял от греха подальше, а потеря других некритична, но всё равно спасибо!
          • 0
            Обычно после смены пароля, правильный сервис предлагает сбосить сессию (т.е. перелогиниться), иначе, если злоумышленник получил ее идентификатор, он все еще получает доступ к вашиему личному кабинету на сайте.

            В общем, рекомендуется перелогиниться самостоятельно.
            • 0
              Ну я конечно чайник, но не до такой же степени))
  • +5
    Давно хотел придумать себе новый паттерн для паролей и тут такой повод
  • 0
    LastPass пишет, что у них проблемы были, но шифрование многоуровневое и можно не менять пароль. Сертификаты они перевыпустили.
  • 0
    name.com была уязвимость. Отписал в саппорт — ответили в стиле «мы уже были в курсе», но закрыли ;)
  • 0
    account.nokia.com, если кому интересно, не была подвержена этой проблеме, пароли от Нокиа акаунтов не были в зоне риска, как и сам сертифкат ;) Так, JFI, раз уж в этом топике собирательная инфа…

  • +1
    Load Impact пишет:
    Скрытый текст
    Hello there,

    As you may have heard, a serious bug in the OpenSSL library was disclosed to the public on April 7th, 2014 (CVE-2014-0160). This library handles SSL encryption for the majority of sites on the Internet — including Load Impact.

    In response to this critical vulnerability, we have conducted a comprehensive security review and would like to let you know that Load Impact has only been vulnerable to this bug for the past six months and is no longer vulnerable.

    We have only been vulnerable to this bug since when we started using Amazon's SSL service (through Amazon's ELBs) back in October 2013, so our exposure is limited. However, since there is still a risk that someone may have stolen information from us in the past six months, we have now replaced our SSL certificates.

    Since you have logged on to your Load Impact account in the last six months, we advice you to take the following extra precautions:

    Change your password
    Generate new API keys
    Due to the widespread nature of this vulnerability, we recommend changing your passwords across the web.

    For more information on the Heartbleed bug, please read our blog. Feel free to reply to this email if you have any questions.

    Take care, keep safe and happy testing.

    /The Load Impact Team

    Mapbox пишет:
    Скрытый текст
    We have secured our infrastructure from Heartbleed, a serious OpenSSL vulnerability that caused security on most of the internet to virtually evaporate overnight (good post by the New York Times).

    There is no indication that any data on Mapbox was compromised as a result of Heartbleed, but as a precaution, we strongly suggest that you to reset your password:

    Reset Your Mapbox Password

    Here is a summary of how our engineering team addressed the vulnerability:

    We logged you out of Mapbox.com--you will be required to login again on your next visit.
    All services were reviewed and updated immediately.
    We rotated our SSL certificates and all other security credentials.
    We reviewed all third-party services and worked with their teams to ensure that proper steps were taken to patch their vulnerable services and rotate their credentials.
    If you have any questions regarding Heartbleed or anything else, send us a note at support@mapbox.com.

    Koding пишет:
    Скрытый текст
    Hi all,

    Just letting you know that Koding is unaffected by the security vulnerability known as Heartbleed.

    On April 7 a serious security vulnerability (CVE-2014-0160) was disclosed in the OpenSSL library. Like much of the internet, we responded to this critical issue by conducting a security review of our servers.

    We've never used the OpenSSL library. Koding built its own proxies using Go and Go has its own implementation of TLS. Therefore, you don't need to change your password (unless you used the same password on other sites that've been affected by Heartbleed).

    We did a thorough investigation anyway and we've concluded that none of servers were affected by this bug, nor was any user information compromised. Our engineering team will continue to monitor the situation.

    At Koding we take security and transparency seriously, which is why we're emailing you today to let you know your information is safe. No additional step is required on your behalf. If you have any questions feel free to reply to this.

    Regards,

    Koding Team
    koding.com

    Mandrill пишет:
    Скрытый текст
    System Alert: OpenSSL Heartbleed Security Vulnerability

    On Monday, the OpenSSL project released an update to address a serious security vulnerability nicknamed «Heartbleed». This vulnerability impacts the encryption used for internet communications and could allow access to decrypted HTTPS traffic. Like many service providers, once Mandrill became aware of Heartbleed, we moved to address, and evaluate the impact of, this vulnerability. We know that our users share our concern for security and privacy, so we want you to be aware of the specifics of Heartbleed vulnerability as it relates to Mandrill.


    Impacted services
    First and foremost, we have no evidence that the Heartbleed vulnerability was used to obtain any Mandrill data or to access Mandrill services.

    Mandrill's relay and application servers were using affected versions of OpenSSL. Patches have been applied to all impacted servers, a process which was completed and confirmed by 14:00 UTC on April 8th. Although Mandrill utilizes Amazon EC2, we don't use the disk images provided by Amazon that were found to be affected. Nevertheless as a precaution, we've replaced our private key and SSL certificate since it's plausible that Mandrill's certificates could have been exposed.

    What you should do
    While there's no indication that Mandrill user data has been impacted, we strongly recommend that users update their Mandrill account passwords. Since API Keys are used for accessing your account via the API and SMTP, we also recommend deactivating old keys and replacing them with new keys.

    Many of our users have sites or applications hosted which store their Mandrill credentials or other sensitive data. So, we also recommend auditing all services you may use to determine if they are also vulnerable, taking steps to repair any vulnerable services, and replacing SSL certificates once the vulnerability has been removed.

    Так же написали из REG.ru с советом:
    Скрытый текст
    Вас приветствует регистратор доменных имен REG.RU!

    Вы являетесь владельцем VPS сервера. Обращаем Ваше внимание, что для используемой Вами операционной системы, была найдена критическая уязвимость безопасности в OpenSSL 1.0.1 и 1.0.2-beta. Более подробно о ней Вы можете прочитать здесь heartbleed.com/
    Уязвимость касается openssl и программы, в работе которых нужна данная библиотека. Сервер openssh проблема не затронула.

    Для устранения данной уязвимости Вам нужно обновить пакет openssl. Сделать это можно, выполнив команды, приведенные ниже
    Для ОС CentOS:
    yum clean all
    yum update openssl
    service httpd restart

    Для ОС Debian:
    apt-get update
    apt-get install openssl
    /etc/init.d/apache2 restart

    — С уважением,
    Служба технической поддержки REG.RU
  • 0
    IFTTT тоже пишет:
    Скрытый текст
    Hello kuuuzya,

    A major vulnerability in the technology that powers encryption across much of the internet was discovered this week. Like many other teams, we took immediate action to patch the vulnerability in our infrastructure.

    IFTTT is no longer vulnerable.

    Though we have no evidence of malicious behavior, we've taken the extra precaution of logging you out of IFTTT on the web and mobile. We encourage you to change your password not only on IFTTT, but everywhere, as many of the services you love were affected.
  • 0
    Amazon AWS — EC2 Linux
    ALAS-2014-320: openssl Security Update — Information Disclosure Vulnerability
    aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/
  • +1
    Прокомментируйте, пожалуйста, кто в теме о смене паролей на популярных почтовых серверах? gmail, yandex, mail…
    • 0
      Google информация есть в посте.
      mail.ru ответили сами постом недавно — пароль менять не надо.
      • 0
        По Яндексу бы информацию получить…
        • –1
          Представитель «Яндекса» Ася Мелкумова утверждает, что злоумышленники не могли прочесть переписку пользователей. «Как было заявлено в сообщении проекта OpenSSL, уязвимость, которой были подвержены две трети серверов в интернете, была в следующем: гипотетические злоумышленники при перехвате данных на сторонних ресурсах могли перехватить произвольные 64 кб данных — по сути это, например, кусочек текста из трех слов или отрывок технической информации, но совершенно точно не полный текст переписки и не информация о логине или пароле», — рассказывает она. «Не было возможности доступа к переписке в течение последних двух лет, так как мы ввели SSL в ноябре 2013 г., но еще раз подчеркиваем: мы уже провели тщательную проверку наших логов за весь период действия уязвимости», — добавила Мелкумова.

          По словам Мелкумовой, компания начала устанавливать необходимые обновления безопасности практически сразу после появления сообщения и завершила все работы всего через несколько часов. «В этот самый опасный период — когда о проблеме узнало множество недоброжелателей — наша служба безопасности не зафиксировала массовых обращений к серверам “Яндекса”, которые бы свидетельствовали об атаке», — добавляет она. «Многие наши сервисы, например “Яндекс.Деньги”, и вовсе не были подвержены угрозе: на их серверах не использовалась уязвимая версия SSL», — говорит Мелкумова. «Благодаря этому скандалу у множества людей в мире появился дополнительный повод сменить пароли», — резюмирует она.

          Источник

          В общем, непонятно=)
          • 0
            64 кб данных — по сути это, например, кусочек текста из трех слов

            очевидно Яндекс хранит переписку упакованными блоками по 3 слова на 64 кБ )
          • +2
            В соседнем топике скриншот. image by ValdikSS

            Так что Ася, передергивает и хитрит… 64кб это дофига:

            злоумышленники не могли прочесть переписку пользователей. «Как было заявлено в сообщении проекта OpenSSL, уязвимость, которой были подвержены две трети серверов в интернете, была в следующем: гипотетические злоумышленники при перехвате данных на сторонних ресурсах могли перехватить произвольные 64 кб данных — по сути это, например, кусочек текста из трех слов или отрывок технической информации, но совершенно точно не полный текст переписки и не информация о логине или пароле»
        • 0
  • 0
    А про известные репозитории знает кто-нибудь? Git, Bitbucket
    • 0
      GitHub — да, надо поменять пароль.
  • 0
    Mikrotik и RouterOS не затронуты:

    LL prior RouterOS releases (6.11 and older) are not affected by this vulnerability as older OpenSSL library where used.

    In addition RouterOS 6.12 will have new OpenSSL library that has this vulnerability resolved.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Очень легко отличить в мусоре много чего интересного, вы видемо не игрались с эксплойтом.
    • 0
      А почему только 8-9 апреля? Почему не все два года?
      Upd: не прочитал про ваши два года
  • +2
    Ещё очень интересно как обстоят дела с прошивками железок, ибо миллионы потенциально уязвимых роутеров это куда страшнее.

    За топик большая благодарность, пожалуйста сделайте топик обновляемым и собирайте инфу дальше.

    p.s: вот тут mashable.com/2014/04/09/heartbleed-bug-websites-affected/ написано, что для Minecraft и ещё нескольких сервисов так же необходимо сменить пароли.
  • +1
    на сколько я понимаю в большинстве случаев будет взломан диспатчер, для более-менее крупных ресурсов это отдельный сервер и бизнес приложения на нём не запускаются. хотя в памяти могут быть остатки переданных сообщений.
    для крякеров некоторые умельцы специально приготовили заглушку pbs.twimg.com/media/BkwVMIoCAAA814Y.png :)
  • 0
    Apple сообщила, что «iOS, OSX и ключевые веб-сервисы не подвержены Heartbleed».
    • НЛО прилетело и опубликовало эту надпись здесь

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка