Heartbleed - как обстоят дела с уязвимостью у NetApp?

Те, кто читает новости в интернете про информационную безопасность, те уже знают о том, что на неделе отрасль столкнулась с одной из серьезнейших угроз безопасности доступа к данным, программный баг опенсорсной библиотеки OpenSSL для организации защищенного канала связи, который уже прозвали Heartbleed.
Баг этот, проникший в код библиотеки по недосмотру программиста и проверявшего за ним код, находился там около 2 лет, и его использование позволяет, как выяснилось недавно, с помощью специально сформированного запроса к системе, работающей по протоколу HTTPS, с использованием для его организации той самой библиотеки OpenSSL версии 1.0.1f, получать с этой системы блоки данных из ее памяти (памяти процесса), размером до 64 килобайт.
Проблема состоит в том, что при работе в памяти процесcа, доступной таким образом, могут при этом находиться данные, которые эта система обрабатывала, например логины и пароли, приватные ключи шифрования, прочая конфиденциальная информация, например на платежных шлюзах это будут данные введенных туда другими пользователями карточек, и так далее.

Понятное описание ситуации от XKCD: http://xkcd.com/1354/

Проблема усугубляется еще и тем, что опенсорсные решения в интернете распространены очень широко, и OpenSSL, фактически, единственная библиотека для организации на них работы по HTTPS. По оценке экспертов, до двух третей HTTPS-серверов могут быть подвержены этой уязвимости. Хуже всего то, что баг сидит в текущей версии библиотеки уже очень давно, не был обнаружен оперативно, и почти все актуальные существующие дистрибутивы (например Linux) уже используют именно уязвимую версию библиотеки.
Однако, стоит сказать, что не подверженными уязвимости остались системы, не использующие OpenSSL, их не так много, но они есть, прежде всего это IIS и вообще Microsoft, а также, думаю, всякие старые Solaris, коммерческие Юниксы, и так далее, которые реализовали работу с SSL своими средствами.

Как же обстоят дела в продуктах NetApp, которые, как вы знаете, довольно широко используют оперсорсные компоненты в своих продуктах?
Буквально сегодня NetApp выпустил по этому поводу отчет о уязвимых и безопасных продуктах компании. Полностью его можно посмотреть тут: https://library.netapp.com/ecm/ecm_get_file/ECMP1516404

А вкратце:
Подтверждено отсутствие проблем с Heartbleed у:

Data ONTAP® (all versions)
 Data ONTAP® PowerShell Toolkit
 FAS/V-Series Storage Replication Adapter for Data ONTAP® 7-mode
 FAS/V-Series Storage Replication Adapter for clustered Data ONTAP®
 MetroCluster Plugin for vSphere (MCPV)
 NetApp StorageGRID®
 OnCommand® Performance Manager
 OnCommand® Plug-in for Microsoft
 OnCommand® System Manager
 OnCommand® Unified Manager Core Package (6.x)
 SANtricity® Storage Manager
 SnapCreator® Framework (SCF)
 SnapDrive® for UNIX (SDU)
 SnapManager® for Oracle (SMO)
 SnapManager® for SharePoint (SMSP)
 SnapManager for Hyper-V
 SnapManager for Oracle (SMO)
 Virtual Storage Console (VSC) for Apache CloudStack
 Virtual Storage Console for (VSC) Citrix XenServer
 Virtual Storage Console VSC) for Redhat
 Virtual Storage Console (VSC) for VMware vSphere
 vStorage API for Storage Awareness (VASA) 7-mode
 vStorage API for Storage Awareness (VASA) cDOT

Подтверждено наличие уязвимости в продуктах:
 Clustered Data ONTAP® Antivirus Connector
 Data ONTAP® Storage Management Initiative Specification (SMI-S) Agent
 E-Series Storage Management Initiative Specification (SMI-S)
 NetApp Manageability SDK (5.0P1 and later)
 OnCommand® Unified Manager Core Package (5.x)
 OnCommand® Workflow Automation (2.2RC1 and later)

Продолжается исследование возможной уязвимости в продуктах:
 Open Systems SnapVault®
 Recovery Manager for ShareFile
 Replication Director
 Single Mailbox Recovery
 SnapDrive® for Windows
 SnapManager® for Exchange
 SnapManager® for SQL Server
 SnapProtect®

Оставить комментарий

20/0.133

Данный блог не спонсируется, не аффилирован, и не санкционирован компанией NetApp, Inc. Излагаемая в этом блоге точка зрения выражает мнение исключительно его автора и может не совпадать с позицией NetApp, Inc.

This content is not endorsed, sponsored or affiliated with NetApp, Inc. The views expressed in this blog are solely those of the author and do not represent the views of NetApp, Inc.