Уязвимость OpenSSL, Heartbleed и Joomla |
Буквально одну неделю назад, была найдена серьезная уязвимость OpenSSL. Данная уязвимость позволяет хакерам получить 64кб данных из памяти сервера. Полученная информация отображается в незашифрованном виде. Т.е. простыми словами, хакер может легко получить пароли и логины, письма, конфиденциальную информацию…. Думаю понимаете о чем речь?
Не для кого из вас не секрет что очень многие сайты используют SSL для защиты своих данных и данных пользователей сайта. По некоторым данным шифрование используют 2/3 части всего интернета.
Сразу после публикации данных о уязвимости, многие крупные интернет-компании (яндекс, google, yahoo, mail, многие банки и пр.) стали незамедлительно обновлять свои сервера до последней версии OpenSSL, что-бы информация не досталась хакерам.
Что же касается проектов на CMS Joomla и Heartbleed?Многие сайты на CMS Joomla используют SSL. Из них просто огромное количество интернет-магазинов созданных на компонентах Virtuemart, JoomShopping, AceShop и др. Каждый уважающий себя и своих клиентов интернет-магазин просто обязан иметь установленный SSL, чтобы предотвратить кражу данных. Соответственно делаем выводы, что возможно уже многие данные интернет-магазинов были получены злоумышленниками.
Если вы являетесь владельцем интернет-магазина, обязательно проверьте какая версия OpenSSL установлена на вашем сервере.
Если вы арендуете простой хостинг, рекомендуем также посмотреть версию SSL (если есть поддержка SSH) или обратится в поддержку хостинга с вопросом, установили ли они обновления которые закрывают данную ошибку.
Если вы являетесь владельцем выделенного сервера или VDS/VPS, то также обязательно проверьте установленную версию. Даже если у вас не используется на сайтах сертификаты, то возможно с большей вероятностью что они используются для входа в панель управления сервером (обратите внимание на это при авторизации в панели управления, которая 100% начинается с https://).
Как узнать какая версия OpenSSL установлена на сайте или хостинге?Очень просто. Для получения информации о версии OpenSSL, достаточно просто зайти на сервер по SSH (поддерживает любой нормальный хостинг) и запустить команду: openssl version Чтобы посмотреть расширенную информацию о версии OpenSSL, введите: openssl version -a В ответе сервера вы можете увидеть примерно такую информацию: OpenSSL 1.0.1f 11 Feb 2013 В этой строке отображается версия OpenSSL и дата релиза. В расширенной информации с ключом -a можно будет также увидеть подробные данные компиляции, активные опции и платформу.
Если ваша версия OpenSSL начинается от 1.0.1 до 1.0.1f, то вы полностью уязвимы к Heartbleed. Новая версия где исправлена уязвимость Heartbleed - OpenSSL 1.0.1g.
Где можно проверить сайт на уязвимость Heartbleed?
Просто введите адрес своего сайта или IP который использует SSL. Также можете ввести IP адрес панели управления хостинга. После тестирования на экране появится информация, в которой вы увидите уязвим ли ваш сайт от Heartbleed или нет.
Рекомендуем всем пользователям срочно сменить свои пароли и желательно на всех сайтах которые вы используете (почта, банкинг, хостинг, социальные сети, форумы и др.). Даже если сайты не подвергались атаке, лучше всего подстраховаться. Компания Яндекс специально создала страницу помощи по смене пароля, на которой предлагается сменить пароли в популярных сервисах. Страница помощи -
Данная уязвимость еще раз подтвердила тот факт, что ничего не бывает защищено на 100%.
|
|
Партнеры |
|
← Развитие CMS Joomla на 2014-2015 годы | Publisher 3 - обзор компонента Joomla для авторов → |
---|