7 апреля в библиотеке утилит OpenSSL была обнаружена уязвимость, которая позволяет злоумышленнику считывать данные из памяти клиента/сервера блоками по 64 Кб. К данным, которые атакующий может извлечь относятся:
· Приватные ключи Web сервера/приложения;
· Учетные данные пользователей сервера/приложения;
· Обрабатываемая сервером/приложением информация.
Известный эксперт в области ИБ и криптографии, Брюс Шнайдер присвоил этой уязвимости критический уровень: «11 из 10».
Специалисты компании McAfee отреагировали практически сразу по двум «фронтам»: с одной стороны, были выпущены исправления для решений McAfee, которые были подвержены уязвимости, с другой стороны – информация об уязвимости была добавлена в продукты с целью обеспечить защиту серверов и приложений заказчика от эксплуатации данной ошибки.
Таким образом, по состоянию на 9 апреля McAfee Network Security Platform и McAfee Firewall Enterprise уже могли детектировать и блокировать попытки эксплуатации уязвимости, а McAfee Vulnerability Manager помогал обнаруживать уязвимые системы.
По состоянию на 11 апреля разработчиками были выпущены патчи для единой консоли ePolicy Orchestrator, Email и Web Gateway, SIEM, Firewall Enterprise и др. Перечень исправлений + инструкции по обновлению решений.
Важно!
Для заказчиков компании McAfee, которые публиковали доступ к консоли ePolicy Orchestrator извне локальной сети, инженеры компании строго рекомендуют помимо установки исправления также сменить пароль доступа к базе данных SQL и обновить ключи коммуникации между сервером еРО и агентами, подробнее о том, как это сделать описано в базе знаний KB81674.
Резюмируя все вышесказанное можно отметить, что разработчик приложил активные усилия для быстрой ликвидации проблемы как в своих продуктах, так и в инфраструктуре заказчиков. Если после прочтения заметки Вы опасаетесь что ваши сервера/системы подвержены описанной уязвимости, Вы можете воспользоваться специальным порталом McAfee или загрузить пробную версию McAfee Vulnerability Manager.
Будьте осторожны и не экономьте на защите данных.