11.04.2014

Уязвимость в OpenSSL

7 апреля 2014 года компания The OpenSSL Project выпустила бюллетень безопасности, в котором сообщается об обнаружении критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

С 9 апреля 2014 года в техническую поддержку компании «БИФИТ Сервис» поступают обращения банков о возможности использования уязвимости злоумышленниками для атак на систему «iBank 2 UA».

Компания «БИФИТ Сервис» настоящим уведомляет, что данная уязвимость в системе «iBank 2 UA» отсутствует.

Уязвимость CVE-2014-0160 связана с ошибкой в реализации протокола SSL/TLS в библиотеке OpenSSL. Библиотека OpenSSL используется рядом широко распространенного программного обеспечения, в частности WEB-серверами Apache и Nginx.

Система «iBank 2 UA» в качестве WEB-сервера использует Tomcat. Для реализации протоколов SSL/TLS в Tomcat используются стандартные библиотеки, поставляемые со средой выполнения Java.

Библиотека OpenSSL в системе «iBank 2 UA» не используется.

Таким образом, уязвимость CVE-2014-0160 не может быть использована для компрометации информации серверов системы «iBank 2 UA».

При этом ряд банков используют сторонние WEB-серверы, например, для размещения стартовых страниц Internet-Банкинга для корпоративных клиентов.

Компания «БИФИТ Сервис» рекомендует таким банкам удостовериться в отсутствии уязвимости в используемых ими WEB-серверах. В случае наличия такой уязвимости банку необходимо:

  • Установить исправленную версию OpenSSL 1.0.1g.
  • Сгенерировать новые ключи и сертификаты.
  • Обновить стартовые страницы Internet-Банкинга для корпоративных клиентов, используя файлы из дистрибутива системы «iBank 2 UA».

Под Internet Explorer версии до 6ой включительно, отображение сайта невозможно!
Выбранный браузер не поддерживает современные веб-стандарты и представляет угрозу вашей безопасности.