Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL

Александр Панасенко 10 Апреля 2014 - 10:31

...

Проект Mozilla опубликовал информацию с анализом проявления уязвимости в OpenSSL в своих продуктах и сервисах. Проблема проявлялась только на серверах, обеспечивающих работу сервисов Persona и Firefox Account. Данные серверы были размещены на платформе Amazon Web Services (AWS), шифрованное соединение в которой обеспечивалось с использованием уязвимой версии OpenSSL. Браузера Firefox проблема в OpenSSL не касается, так как для шифрования в нём используется libnss.

Amazon достаточно оперативно выполнил обновление OpenSSL, поэтому в настоящий момент службы защищены от атак. Свидетельств о проведении атак на сервисы Mozilla не выявлено, но потенциально не исключается утечка идентификаторов сессий для доступа к инфраструктуре Persona и параметров пользователей, осуществлявших аутентификацию в сервисе Firefox Account (утечка возможна только при входе с вводом пароля, при дальнейшем обращении и синхронизации данных в процессе работы использовалось дополнительное шифрование), сообщает opennet.ru.

Так как нет возможности убедиться в отсутствии атак на сервисы Mozilla, произведена смена TLS-ключей для сервисов проекта и отзыв сертификатов и ключей, которые могли быть затронуты потенциальной атакой. Также почищены сессионные идентификаторы Persona, что может потребовать повторно ввести пароль при обращении к сервису. В качестве дополнительного средства предосторожности пользователи Firefox Accounts и Persona на своё усмотрение могут поменять пароли, но фактов утечки данных пока не зафиксировано.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Ноября 2025 - 19:08

Система контроля действий поставщиков ИТ-услуг (СКДПУ НТ) Корпорации Контроль привилегированных пользователей (PAM) АйТи БАСТИОН

СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кастомизации

Компания «АйТи Бастион» представила новую версию своей PAM-системы СКДПУ НТ 2.3.3. Обновление включает встроенный менеджер паролей «Персональные сейфы» и расширенные возможности кастомизации интерфейса через подсистему Портал доступа.

Новый модуль «Персональные сейфы» позволяет централизованно хранить пароли, ключи и сертификаты, контролировать сроки их действия и качество, а также безопасно делиться доступами между сотрудниками и командами.

В систему встроен генератор надёжных паролей, а управление осуществляется через единый интерфейс, что упрощает администрирование.

В обновлении также реализована возможность запускать несколько экземпляров Портала доступа с разными пользовательскими настройками на одном узле системы.

Это позволяет компаниям гибко адаптировать интерфейс под свои задачи и экономить вычислительные ресурсы. Пользователь теперь может работать с тем экземпляром портала, который связан с нужным ему сегментом сети.

Кроме того, добавлен просмотр списка всех узлов СКДПУ НТ через интерфейс головного узла, что делает администрирование более прозрачным.

Разработчики также улучшили поддержку подключений по ярлыку APP и внесли ряд изменений, направленных на повышение стабильности и удобства работы.

Обновление, по сути, делает систему более гибкой и управляемой, облегчая работу администраторов в сложных и распределённых инфраструктурах.