Skip to main content
Voir tous les produits
Calcul
Stockage
Bases de données
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    50
  2. Calcul
    15
  3. Conteneurs (Kubernetes, Docker)
    33
  4. Bases de données
    20
  5. Outils pour les développeurs
    38
  6. Linode
    257
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    32
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    60
  13. Stockage
    22
Auteurs 53
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 175
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 1
  23. Justin Cobbett 16
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 52
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 18
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Shawn Michels 1
  49. Linode Support 13
  50. Tom Asaro 18
  51. Travis Baka 1
  52. Talia Nassi 8
  53. Yuri Goldfeld 1
BlogAperçu de l'informatique en nuageVulnérabilité Heartbleed OpenSSL

Vulnérabilité OpenSSL Heartbleed

Linode
The Linode Security Team
8 avril 2014

Le 7 avril 2014, une vulnérabilité(CVE-2014-0160, également connue sous le nom de "Heartbleed") a été publiée qui pourrait permettre à des attaquants de consulter des informations sensibles dans la mémoire d'un serveur, telles que des clés secrètes et des mots de passe. Compte tenu de la gravité de ce problème, Linode a pris les mesures nécessaires pour garder nos clients et leurs informations à l'abri des attaques potentielles.

Suis-je vulnérable ?
Étant donné que Heartbleed est apparu dans la nature il y a plus d'un an, les serveurs peuvent avoir été compromis depuis un certain temps. Cette vulnérabilité expose un système à des attaquants qui peuvent extraire des informations sans laisser de trace d'activité malveillante.

Un outil permettant aux administrateurs de tester la vulnérabilité de leur système a été publié. Si votre site dispose d'un certificat SSL, rendez-vous sur la page de test Heartbleedentrez l'URL de votre site web et lancez le test de vulnérabilité. La source de cet outil se trouve sur GitHub. Veuillez noter qu'un résultat positif ne signifie pas que votre système n'est pas vulnérable d'une autre manière. Les logiciels qui ont été compilés avec l'ancienne bibliothèque devront être recompilés.

Linode est-il vulnérable ?
Dès que cette vulnérabilité a été révélée, notre équipe de sécurité a effectué des mises à jour sur l'ensemble de notre infrastructure afin de corriger le bogue. En raison de la nature du problème, nous sommes en train de réaliser un audit complet de nos systèmes et de régénérer les certificats concernés.

Protéger votre système
Nous encourageons tous les clients Linode à exécuter les mises à jour logicielles et à recompiler les logiciels compilés avec les bibliothèques vulnérables. À l'heure actuelle, tous nos miroirs de paquets ont été mis à jour avec des paquets contenant des correctifs pour ce problème. Si vous souhaitez en savoir plus sur les correctifs à apporter à votre système et sur la réédition des certificats SSL, veuillez consulternotre guide dans la bibliothèque Linode.

 

Vous pourriez aussi aimer...

Annonce de notre dernière initiative Cloud Computing

Annonce de notre dernière initiative Cloud Computing

Au début du mois, nous avons annoncé notre intention d'étendre nos capacités de Cloud Computing à la périphérie avec Akamai Generalized Edge Compute (Gecko).
Aperçu des nuages
Techstrong PulseMeter : Le héros de la portabilité des charges de travail dans le nuage

Techstrong PulseMeter : Résilience de la charge de travail dans le nuage

Techstrong Research a interrogé sa communauté de lecteurs et de spectateurs DevOps et cloud-native pour prendre le pouls de la portabilité des charges de travail.
Aperçu des nuages
Image TFIR représentant John Garrett et Liam Dodd.

Le nuage distribué pourrait-il changer la donne ?

Pourquoi l'informatique dématérialisée est-elle en plein essor ? L'informatique et les développeurs s'accordent sur les avantages et les défis. Des experts analysent cette tendance et expliquent pourquoi elle pourrait changer la donne.
Aperçu des nuages

Commentaires (10)

  1. Author Photo
    camper67

    On the VMs, I assume that it is “impossible” for vulnerable tenant to affect his/her neighbor who is patched.

    Reply
  2. Author Photo
    Stephen

    The question is _WAS_ linode infra vulnerable? Is there the chance that passwords have been stolen?

    If you were using an older version of openssl (CentOS 5 or even CentOS 6.4 or older) then you were never vulnerable.

    What linode servers were vulnerable, and over what time period?

    Reply
  3. Author Photo
    Nathan Duran

    Seems that all of your packages have not been updated, just specific packages for specific releases. If you’re not running one of those specific releases, you either have to upgrade your entire distribution or keep running vulnerable software.

    Reply
  4. Author Photo
    Fletcher Tomalty

    @camper67 That is correct. In fact, this vulnerability cannot even leak data from other processes on the same machine.

    Reply
  5. Author Photo
    Niels

    Stephen, of course it was. Most of the internet was/is. It was introduced about 2 years ago, so potentially for that duration of time.

    Theoretically for most of the internet, including Linode, it is possible some sensitive information was leaked however since the exploit/PoC was only released yesterday (and immediately patched) I think the chance of that is very small.

    Reply
  6. Author Photo
    J Irving

    Hey guys

    Can I assume we’ll see an update when the new certificates are deployed and the audit is complete? There’s no point changing passwords until then.

    cheers.

    Reply
  7. Author Photo
    Ricardo N Feliciano

    J Irving,

    Everything is good. You can check the site referenced in the blog post against the Linode URLs and we pass:

    http://filippo.io/Heartbleed/#manager.linode.com
    http://filippo.io/Heartbleed/#blog.linode.com
    http://filippo.io/Heartbleed/#www.linode.com

    Reply
  8. Author Photo
    Matthew

    Ricardo,

    I don’t think you’ve answered J Irving’s question. Tests like filippo.io/Heartbleed can tell us whether a vulnerable OpenSSL implementation is present at the time of the test.

    However, according to my understanding, the test can’t tell us whether the private key and certificate being used were issued *after* all services were updated to a non-vulnerable version.

    For that, we need an explicit statement from Linode.

    Cheers,
    Matthew

    Reply
  9. Author Photo
    Thomas Zickell

    Anyone that continues to see use the same passwords after this terrible event that took years for the hosting community to find out. Is not thinking straight. If you have ever your credit card into an Open SSL encrypted gateway for typed in anything on what he felt was historically safe. you were wrong.

    Change your passwords ASAP

    Reply
  10. Author Photo
    Les Aker

    Matthew: The private key and certificate being used were created after all services were updated to non-vulnerable versions, and the old certificates have been revoked.

    Reply

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.