Bezpečnost: Reakce na zranitelnost Heartbleed

Pro šifrovanou komunikaci používáme knihovnu OpenSSL. V té byla v pondělí 7. dubna večer objevena závažná bezpečnostní chyba (CVE-2014-0160, Heartbleed) postihující přibližně 70 % webových serverů na internetu. Chyba umožňovala útočníkovi číst obsah paměti, získat hesla, klíče a obsah šifrované komunikace.

Jak reagoval Fakturoid?

  • V úterý 8. po poledni jsme zabezpečili všechny naše webové servery nasazením záplatované knihovny OpenSSL.
  • Krátce po půlnoci jsme pro jistotu vygenerovali nové SSL certifikáty.
  • Přidali jsme možnost požádat o přegenerování API klíče přímo z obrazovky .

Navíc jsme už dříve nasadili Perfect Forward Secrecy, která umožní zachovat komunikaci soukromou i při uniknutí šifrovacího klíče.

Co můžete udělat vy?

Byť je riziko zneužití spíše teoretické, doporučujeme pro jistotu změnu hesla ve Fakturoidu (záložka Já) a přegenerování API klíče.

Publikováno 10. 04. 2014

Prohledat Blog a Podporu

RSS

Chcete nám něco říct?

Použijte