Image
17.4.2014 0 Comments

Krvácajúce srdce ukazuje, prečo kupovať značkový hardvér

ITN_krvacajuce srdce.jpg Chyba krvácajúceho srdca (Heartbleed bug) poukazuje na dôvod, prečo má zmysel kupovať značkové servery a ďalší podnikový hardvér s kvalitnou podporou. Na rozdiel od „no name výrobcov" totiž veľkí hráči ako Dell, HP a IBM začali rýchlo uvoľňovať aktualizácie, ktoré opravujú kritickú zraniteľnosť. Naopak, firmy, ktoré stavili na lacnejší neznačkový hardvér, sa opráv nemusia ani dočkať.

Chyba krvácajúceho srdca sa totiž netýka len webových serverov, ale knižnicu OpenSSL na zabezpečenú komunikáciu používajú aj niektoré hardvérové ​​servery, sieťové prvky a appliance. Prítomná zraniteľnosť by mohla umožniť útočníkom ukradnúť prístupové údaje a šifrovacie kľúče a získať tak kontrolu nad uvedenými systémami.

Veľkí hráči ako Dell, HP a IBM už vo väčšine prípadov zverejnili zoznamy hardvéru, ktorý je chybou zasiahnutý, a začínajú rýchlo distribuovať opravy.

Dostupnosť updatov záleží na výrobcovi

Zraniteľnosť, ktorá sa stala mediálnou senzáciou minulý týždeň, bola už v poslednej verzii knižnice OpenSSL opravená. Jej inštalácia na webové servery je relatívne jednoduchá, horšie je to však s hardvérovými produktmi, ktoré sú závislé od uvoľnenia novej verzie firmvéru výrobcom. Tu záleží teda na kvalite ich podpory, ako rýchlo (a či vôbec) aktualizácie poskytnú. Pre niektoré firmy tak môže nedostupnosť updatu znamenať aj potrebu kompletnej výmeny hardvéru.

Opravy od Hewlett-Packard

Spoločnosť HP vydala už aktualizácie pre svoje servery BladeSystems, IBM AIX servery a aj Dell uvoľnil updaty pre appliance a sieťové prvky využívajúce OpenSSL. Výrobcovia ďalej odporúčajú zákazníkom, aby preverili svoje hypervízory, operačné systémy a middleware na možné zraniteľnosti.

Niektoré zo serverov HP používajú OpenSSL na šifrovanie a zabezpečenie komunikácie, detailný súpis zasiahnutých serverov nájdete na webovej stránke podpory HP, identifikácia potenciálne rizikových sieťových prvkov vraj ešte prebieha. Bezpečnostné aktualizácie sú v tomto prípade k dispozícii zadarmo pre všetkých zákazníkov HP, hoci nedávno HP zaviedlo systém, keď majú prístup k updatom len zákazníci so servermi, ktoré sú ešte v záruke alebo v režime rozšírenej podpory. Pre závažnosť chyby však teraz HP urobilo výnimku.

HP už vydalo aj aktualizácie niektorých nástrojov na správu serverov, ide napr. o BladeSystem c-Class Onboard Administrator, Smart Update Manager a System Management Homepage pre Linux a Windows.

Opravy od Dellu

Čo sa týka Dellu, podľa všetkého nie sú chybou v OpenSSL zasiahnuté jeho servery PowerEdge ani systém na správu OpenManage. No v detailnej príručke venovanej zraniteľnosti Dell spomína bezpečnostné appliance a sieťové prvky, ktoré sú postihnuté zraniteľnosťou. V súčasnosti Dell pracuje na záplate pre appliance na správu mobilných zariadení Kace K3000 a pre sieťové appliance a sieťové prvky Foglight, ktoré používajú sieťový operačný systém Dellu FTOS. Vydaný už bol aj opravený firmvér pre bezpečnostné appliance SONICWALL. Vcelku však Dell vyšiel z tejto nepríjemnej situácie v rámci „veľkej trojky" asi najlepšie.

Opravy od IBM

Čo sa týka tretieho veľkého hráča, spoločnosti IBM, tá identifikovala prítomnosť Heartbleed bugu v serveroch AIX, ktoré používajú OpenSSL na komunikáciu v rámci klastra cez protokol TLS (Transport Security Layer). OpenSSL sa v tomto prípade takisto využíva na zabezpečenú komunikáciu SSL cez internet .

IBM už vydalo OpenSSL patch pre servery dodávané s AIX 6.1 OS s protokolom TL9a AIX 7.1 s protokolom TL3. IBM ďalej odporúča aktualizovať GPFS (General Parallel File System) na novú verziu s aktualizovaným OpenSSL, ide o verzie 3.4 a 3.5 pre AIX a Linux pre servery Power a servery x86. Takisto softvér IBM ako WebSphere MQ, Sametime Community Server verzie 9 HF1 a Cloudant sú vraj zasiahnuté chybou krvácajúceho srdca. IBM ďalej odporúča používateľom serverov System z, aby sa registrovali na System z Security Portali, kde získajú aktuálne opravy a softvérové ​​aktualizácie.

Zdroj: ictmanazer.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Biznis

Šiesty ročník STARTUP AWARDS pozná víťazov a obsahom aj návštevnosťou prekonal všetky predchádzajúce

06.12.2016 00:15

Tohtoročné Startup Awards, ktoré sa konali v piatok 2. decembra v bratislavskom Istropolise, už majú svojich víťazov. V súťaži vyberala zahraničná odborná porota spomedzi dvanástich nápadov celkom v š ...

Biznis

Amazon bude prevážať dáta v kamiónoch. Chce tak ušetriť čas

05.12.2016 10:02

Na svojej používateľskej konferencii re:Invent predstavil Amazon nový spôsob, ako môžu zákazníci presúvať veľké objemy dát do jeho cloudovej služby Amazon Web Services (AWS). Pre veľké firmy, ktoré c ...

Biznis 1

Xiaomi vraj neutrpí poklesom predaja smartfónov, živia ho iné zdroje

02.12.2016 00:19

Prepad predaja smartfónov na čínskom trhu nebude mať významný dosah na spoločnosť Xiaomi, pretože bude kompenzovaný predajom inteligentných domácich spotrebičov a príjmami zo softvéru. Povedal to star ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá