Krvácející srdce ukazuje, proč kupovat značkový hardware

Albert Ryba | 16.04.2014 | Bezpečnost, Hardware | Žádné komentáře

Chyba Krvácejícího srdce (Heartbleed bug) ukazuje na důvod, proč má smysl pořizovat značkové servery a další podnikový hardware s kvalitní podporou. Narozdíl od „no name výrobců“ totiž velcí hráči jako Dell, HP a IBM začali rychle uvolňovat aktualizace, které opravují kritickou zranitelnost. Naopak firmy, které vsadily na levnější neznačký hardware se oprav nemusí ani dočkat.

Chyba Krvácejícího srdce se totiž netýká jen webových serverů, ale knihovnu OpenSSL pro zabezpečenou komunikaci používají i některé hardwarové servery, síťové prvky a appliance. Přítomná zranitelnost by mohla umožnit útočníkům ukrást přístupové údaje a šifrovací klíče, a získat tak kontrolu nad uvedenými systémy.

Velcí hráči jako Dell, HP a IBM již ve většině případů zveřejnili seznamy hardwaru, který je chybou zasažen a začínají rychle distribuovat opravy.

Dostupnost updatů záleží na výrobci

Zranitelnost, která se stala mediální senzací v uplynulém týdnu, byla již v poslední verzi knihovny OpenSSL opravena. Její instalace na webové servery je relativně snadná, horší je to ale s hardwarovými produkty, které jsou závislé na uvolnění nové verze firmwaru výrobci. Zde záleží tedy na jejich kvalitě podpory, jak rychle (a zda vůbec) aktualizace poskytnou. Pro některé firmy tak může nedostupnost updatu znamenat i potřebu kompletní výměny hardwaru.

Opravy od Hewlett-Packard
Společnost HP vydala již aktualizace pro svoje servery BladeSystems, IBM pro AIX servery a také Dell uvolnil updaty pro appliance a síťové prvky využívající OpenSSL. Výrobci dále doporučují zákazníkům, aby prověřili svoje hypervizory, operační systémy a middleware pro možné zranitelnosti.

Některé ze serverů HP používají OpenSSL pro šifrování a zabezpečení komunikace, detailní ssoupis zasažených serverů najdete na webu podpory HP, identifikace potenciálně rizikových síťových prvků prý ještě probíhá. Bezpečnostní aktualizace jsou v tomto případě k dispozici zdarma pro všechny zákazníky HP, ačkoliv nedávno HP zavedlo systém, kdy mají přístup k updatům jen zákazníci se servery, které jsou ještě v záruce nebo v režimu rozšířené podpory. Díky závažnosti chyby ale nyní HP udělalo výjimku.

HP také již vydalo aktualizace některých nástrojů pro správu serverů, jde např. o BladeSystem c-Class Onboard Administrator, Smart Update Manager a System Management Homepage pro Linux a Windows.

Opravy od Dellu
Co se týká Dellu, podle všeho nejsou chybou v OpenSSL zasaženy jeho servery PowerEdge, ani systém pro správu OpenManage. Nicméně v detailní příručce věnované zranitelnosti Dell zmiňuje bezpečnostní appliance a síťové prvky, které jsou postižené zranitelností. V současnosti Dell pracuje na záplatě pro applianci pro správu mobilních zařízení Kace K3000 a pro síťové appliance a síťové prvky Foglight, které používají síťový operační systém Dellu FTOS. Vydány už byly i opravené firmwary pro bezpečnostní appliance SonicWall. Celkově ale Dell vyšel z této nepříjemné situace v rámci „velké trojky“ asi nejlépe.

Opravy od IBM
Co se týká třetího velkého hráče, společnosti IBM, ta identifikovala přítomnost Heartbleed bugu v AIX serverech, které používají OpenSSL pro komunikaci v rámci clusteru přes TLS protokol (Transport Security Layer). OpenSSL je také v tomto případě využíváno pro zabezpečenou SSL komunikaci přes Internet.

IBM již vydalo OpenSSL patch pro servery dodávané s AIX 6.1 OS s TL9 protokolem a AIX 7.1 s TL3 protokolem. IBM dále doporučuje aktualizovat GPFS (General Parallel File System) na novou verzi s aktualizovaným OpenSSL, jde o verze 3.4 a 3.5 pro AIX a Linux pro servery Power a x86 servery. Také software IBM jako WebSphere MQ, Sametime Community Server verze 9 HF1 a Cloudant jsou prý zasaženy chybou krvácejícího srdce. IBM dále doporučuje uživatelům serverů System z, aby se registrovali na System z Security Portalu, kde získají aktuální patche a softwarové aktualizace.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


devět + = šestnáct

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz