[CRITICAL HOTFIX] Kerio Connect 8.2.4 – bardzo ważna aktualizacja
Wszystkich naszych klientów i partnerów, posiadających serwer pocztowy Kerio Connect starszy, niż wersja oznaczona numerem 8.2.4, ale nowszy niż 8.1.3, informujemy o ważnej poprawce, zabezpieczającej przed podatnością CVE-2014-0160, wykrytą w zaimplementowanym w produkcie OpenSSL 1.0.1e.
Dzięki szybkiej reakcji i ogromnej pracy inżynierów, producent w przeciągu 24 godzin opublikował poprawkę, zmieniającą wykorzystywaną bibliotekę OpenSSL na nowszą, nienarażoną na tę podatność. Przedpremierowa edycja poprawki dostępna jest pod adresem http://goo.gl/Ey3FyQ. Nowa wersja serwera pocztowego Kerio Connect (8.2.4) jest dostępna do pobrania ze strony producenta.
Problem dotyczy także Kerio Operator 2.2.x, jednak ogranicza się wyłącznie do wbudowanego serwera web (web administracja, interfejs MyPhone, autoprovisioning Kerio Softphonu). Szyfrowany SIP i SSH są wolne od problemu. W wersji Kerio Operator 2.3.0 BETA, problem dotyczy wszystkich szyfrowanych usług. Do momentu pojawienia się poprawki, zaleca się ograniczenie dostępu do podatnych usług z sieci publicznej.
AKTUALIZACJA 09.04.2014: Na stronie http://filippo.io/Heartbleed/ można znaleźć tester podatności OpenSSL.
AKTUALIZACJA #2 09.04.2014: Poprawka dla Kerio Operator jest już dostępna. Więcej informacji na jej temat w artykule.