Dobrý deň,
zákazník nám poslal výsledky bezpečnostného skenu nášho servera. Vo výsledkoch boli zraniteľnosti:
Zranitelnost: OpenSSL Multiple Remote Security Vulnerabilities
QID: 38602
Zranitelnost: OpenSSL oracle padding vulnerability (CVE-2016-2107)
QID: 38626
Nestretli ste sa náhodou s týmto problémom niekde?
V aplikácii nemáme nastavenú zabezpečenú komunikáciu SSL/TLS. Mohlo by to byť spôsobené tým?
Vopred ďakujem za info.
D2000 V12.0.61u5
Dobrý den.
V takom prípade bohužiaľ nevieme nič urobiť. Opätovne som preveril, že v inštalačnom kabinete D2000 12.0.61.u5 sa nachádza binárka a dll-ky “OpenSSL 1.0.2p 14 Aug 2018” a žiadna iná verzia openssl. Reportované zraniteľnosti sa v tejto verzii nevyskytujú.
Ak nepoužívate TLS komunikáciu medzi D2000 procesmi a kernelom resp. KOM nekomunikuje protokolmi ktoré sú zabezpečené SSL/TLS, tak skúste openssl z inštalácie D2000 vymazať (bez záruky, netestoval som to). Jedná sa o súbory libeay32.dll, ssleay32.dll, openssl.exe. Môžu byť v adresári bin a súčasne aj v bin64.