2014年4月7日,安全研究人员发现了一个严重漏洞(CVE-2014-0160)(在OpenSSL中),这是许多网站(包括Clear Books)使用的一种非常流行的加密库。该库可确保服务器与客户端之间的安全通信,同时还可确认服务器的身份。

尽管我们没有迹象表明该攻击已针对Clear Books进行了使用,但我们仍在高度谨慎,因为该漏洞的性质使得很难检测到攻击。

清晰图书对此有何作法?

  • 漏洞详细信息在昨天早晨发布后,我们立即将所有服务器修补到最新的OpenSSL版本,该版本不受此类攻击。
  • 除了重置我们的内部凭据之外,还重新创建并重新部署了新的SSL密钥。最重要的是,我们所有的旧证书也被撤销;只是为了安全起见。
  • 为了预防起见,在修补服务器之前,如果所有会话都被破坏,我们会强制所有用户注销。

您能对此做什么?

如前所述,我们没有迹象表明Clear Books是此类攻击的目标,但是希望格外谨慎的客户可以重新设置密码,并应确保使用唯一的难以猜测的密码。我们建议对您使用的所有网站(不仅仅是“透明书”)执行此操作。

敬请关注

更新10/04/2014– 10:10 –截至昨晚11:50,所有会话均已失效,您需要登录到Clear Books帐户。如昨天所述,这是一种预防措施。

大卫·伊顿

作者:David Eaton

David是一名特许会计师和SME策略总监(smestrategies.co.uk),它为雄心勃勃的SME提供量身定制的支持,并为所有者经理提供指导。

一个评论

  1. 头像
    Ermos Kyriakides 2014年4月9日,下午2:46

    你好亚当

    这确实是我们所做的。

    亲切的问候,

    爱莫斯

    回复

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *