SSL-сертификаты

В этом подфоруме общаемся на любые темы связанные со сторонними CMS, делимся собственными наработками и советами

Модераторы: Vl@d1m1r, Lorem Ipsum, Atlas

Ответить
Аватара пользователя
ZmejNK
Активно осваиваю Форум
Активно осваиваю Форум
Сообщения: 233
Стаж: 11 лет 3 месяца
Контактная информация:

SSL-сертификаты

Сообщение ZmejNK »

Ребята, подскажите.

Получил письмо от хостера
С сожалением сообщаем, что в свете недавно обнаруженной уязвимости в библиотеках OpenSSL, у злоумышленников была возможность похитить Ваши приватные ключи и сами сертификаты и использовать их для расшифровки Вашего трафика либо для создания фишинг страниц, которые клиенты никак не смогут отличить от оригинального сайта.

Это несет серьезную угрозу безопасности Ваших данных и данных посетителей Ваших сайтов, теоретически в любой момент Ваш сертификат может быть использован злоумышленниками для совершения противоправных действий, в частности, кражи личных данных. В связи с этим настоятельно рекомендуем Вам:

- Обязательно сгенерировать новый приватный ключ т.к. нет причин полагать, что текущий не был украден.......и т.п.
Просят запустить пару команд. А вот где их запускать - я ни сном, ни духом. С html я вроде как разобрался, а вот это уже для меня совсем дебри..

Имеет смысл мне волноваться или же нет? Как у phpbb с этими сертификатами дела обстоят?
#1
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

SSL-сертификаты

Сообщение DeaDRoMeO »

Чесслово в этом плане я полный ноль))
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#2
Аватара пользователя
БОРИСЫЧ
Зашел немного посидеть
Зашел немного посидеть
Сообщения: 89
Стаж: 10 лет
Откуда: Москва
Контактная информация:

SSL-сертификаты

Сообщение БОРИСЫЧ »

ZmejNK писал(а):Как у phpbb с этими сертификатами дела обстоят?
Какие сертификаты в phpbb? Суть обнаруженной уязвимости openssl состоит в том, что читая оперативную память веб-сервера, атакующий может получить доступ к конфиденциальной информации как сервера, так и пользователей, позволяя перехватить приватные ключи, cookies и пароли. Сам по себе форум тут ни при чем.
Устранение уязвимости должно произойти на уровне ПО сервера, то есть это дело хостинга. Вам ничего делать не надо, кроме как поменять пароли к хостингу, к админпанели, к фтп серверу, возможно к базе данных. Вероятность риска, что будет если пароли не менять, сейчас оценить трудно, так как уязвимость просуществовала несколько месяцев, пока ее обнаружили, и никто не знает - кто и как ею воспользовался. А простым пользователям менять свои пароли к форуму я не вижу смысла. А вот к другим системам (онлайн банкинг, интернет-деньги, почта, портал госуслуг и прочее) - лучше поменять пароли всем.
#3
Ответить