Poradnik bezpieczeństwa odnośnie CCS

5 czerwca projekt OpenSSL wydał ostrzeżenie. CVE-2014-0224 może pozwolić na (MiTM) atak typu man-in-the-middle, który może być przeprowadzony między podatnym klientem a serwerem. Staranie przygotowany „uścisk dłoni” może wymusić użycie osłabionego szyfrowania w klientach i serwerach OpenSSL SSL/TLS, co pozwoli na odszyfrowanie i zmianę ruchu sieciowego w relacji klient-serwer.
Wszystkie wersje klienckie Open SSL są podatne, a w przypadku serwerów w wersjach 1.01 i 1.02 beta 1. Użytkownicy serwerowej wersji poniżej 1.01 powinni zapobiegawczo ją zaktualizować.
Ważne jest, że Zimbra nie korzysta z DTLS ani nie ma włączonego SSL_MODE_RELEASE_BUFFERS.

Ważna informacja:
Serwery przez nas administrowane są załatane i w pełni bezpieczne.

Ważne – Luka w Open SSL ” Heartbleed”

7 Kwietnia projekt Open SSL wydał alarm bezpieczeństwa, który szczegółowo ujawnia poważne luki w zabezpieczeniach oprogramowania szyfrującego, z którego korzysta 2/3 „internetu”. Ta luka w zabezpieczeniach (nazwana z ang. „Heartbleed”) może potencjalnie pozwolić atakującemu na pobieranie informacji z szyfrowanych SSL punktów końcowych, w tym haseł i innych danych logowania.
Więcej o zagrożeniu bezpieczeństwa „Heartbleed” tutaj:
http://gigaom.com/2014/04/08/heres-everything-you-need-to-know-about-the-heartbleed-web-security-flaw/

Zespół bezpieczeństwa Zimbry szybko zareagował wydając poprawkę do luki „Heartbleed” w ciągu kilku godzin. Łatka „Heartbleed” obsługuje tworzenie nowych certyfikatów SSL i innych środków zaradczych. Zalecamy zastosowanie łatki NATYCHMIAST. Po zastosowaniu poprawki i wymianie certyfikatow, jako środek ostrożności, zalecamy zmianę haseł.

Tutaj można pobrać łatkę:

https://www.zimbra.com/forums/announcements/70921-critical-security-advisory-patch-openssl-heartbleed-vulnerability.html