90% ОТСТЪПКА ЗА ВСИЧКИ ХОСТИНГ ПЛАНОВЕ, ЗА ДА ПРЕМЕСТИТЕ ЛЕСНО СВОЯ БИЗНЕС ОНЛАЙН

3 март 2020

Преиздадохме всички Let's Encrypt сертификати, засегнати от бъг при повторна CAA проверка (CAA Rechecking Bug)

На 29 февруари 2020 г. от Let’s Encrypt намериха грешка в кода на CAA (Certificate Authority Authorization) системата си, свързан с техния софтуер, наречен Boulder. Над три милиона сертификата, издадени от Let's Encrypt, бяха засегнати. Самият бъг, според официалната информация, се състоеше в следното:

Когато заявката за сертификат съдържа N на брой домейни, които се нуждаят от повторна CAA проверка, Boulder избира един домейн и го проверява N пъти. Това на практика означава, че ако потребител валидира домейн във време X и CAA записите за този домейн във време X позволяват да се издаде сертификат, този потребител може да издаде сертификат за домейн, валиден до X + 30 дни, дори ако някой по-късно добави CAA записи на този домейн, които забраняват издаването на сертификат от Let's Encrypt.

Всички хостинг планове, които предлагаме, включват безплатни SSL сертификати от Let's Encrypt и много от нашите клиенти ги използват. Това означаваше, че много уеб сайтове щяха да бъдат засегнати от този бъг.

В ICDSoft приемаме подобни проблеми много сериозно и екипът ни предприе незабавни действия. Проверихме за засегнати сертификати на нашите сървъри, за да ги преиздадем. Имаше 128 SSL сертификата, които бяха засегнати от бъга и всички те бяха преиздадени успешно. В резултат на това нито един клиент на ICDSoft не е имал проблеми, свързани с SSL, причинени от този бъг и последващото анулиране на всички засегнати сертификати от Let's Encrypt.

5 април 2019

Проблем в сигурността на Apache уеб сървър (CVE-2019-0211)

Наскоро беше открит проблем в сигурността (CVE-2019-0211) засягащ Apache - уеб сървърът, който задвижва над 40% от сайтовете в интернет. Този пробив в сигурността е потенциално опасен за някои доставчици на споделени хостинг услуги, тъй като дава възможност да бъдат изпълнявани зловредни скриптове с правата на процеса на самия уеб сървър.

Сървърите на ICDSoft не са уязвими, тъй като използваме защитен механизъм наречен suEXEC. Все пак, тъй като нашите системни администратори редовно обновяват софтуера по сървърите ни, кръпка за този проблем вече е инсталирана навсякъде.

11 октомври 2016

Сертификати Let's Encrypt

Днес разработеният от нас Контролен панел се сдоби с нова функционалност – софтуер за управление на Let's Encrypt сертификати. Нашите клиенти ще могат да инсталират вече Let's Encrypt сертификати за всеки домейн, който хостват на нашите сървъри.

Let's Encrypt е издател на безплатни SSL сертификати, валидирани на база име на домейн. Целта на Let's Encrypt e да предостави сигурна комуникация между потребителите и сървърите и да наложи криптираната комуникация като стандарт в интернет.

Новата функционалност в Контролния панел осигурява много лесна инсталация и управление на Let's Encrypt сертификатите – заявката за нов сертификат се инициира само с един клик, а последващите процеси на валидация и подновяване се извършват автоматично от страна на сървъра.

Използването на Let's Encrypt сертификати е напълно безплатно за нашите клиенти.

4 май 2016

Критична уязвимост в ImageMagick открита и незабавно отстранена на нашите сървъри

Източници в интернет наскоро разпространиха информация за критична уязвимост в софтуерната библиотека ImageMagick. ImageMagick е популярен софтуер за обработка на изображения за уеб сайтове и се използва от множество плъгини и приложения. Въпросната уязвимост позволява изпълняване на код от разстояние и манипулиране на файлове на сървъра.

Сървърната сигурност е от огромна важност и системните ни администратори непрекъснато следят бюлетини, свързани със сигурността на използвания софтуер, за да постигнат възможно най-голяма безопасност за клиентските данни и приложения.

За да се справят с въпросната уязвимост, нашите системни администратори незабавно въведоха ограничения в работата на ImageMagick на всички наши сървъри. Допълнителните ограничения блокират определени функции на ImageMagick, като инклузията на данни от разстояние и операции с mvg файлове. Въведените ограничения напълно отстраняват проблемите, свързани с въпросната уязвимост. Съществува риск, макар и минимален, ограниченията да възпрепятстват работата на някои ImageMagick функции, използвани от приложения и плъгини за обработка на изображения. Независимо от това смятаме, че ползата от допълнителните ограничения надвишава този риск, тъй като осигуряването на безопасност за данните на нашите клиенти е сред най-високите ни приоритети.

Обезопасена версия на ImageMagick без допълнителни ограничения ще бъде сложена на всички наши сървъри, веднага след като такава бъде издадена от разработчиците на ImageMagick.

17 октомври 2014

Изключително критична SQL injection уязвимост на Drupal масово отстранена на нашите сървъри

На 15.10.2014 г. разработчиците на Drupal съобщиха за критична SQL injection уязвимост, която засяга всички настоящи Drupal 7.x версии. Повече информация е достъпна на https://www.drupal.org/SA-CORE-2014-005.

Съществуващо доказателство на концепцията позволява на хакерите да превърнат SQL injection уязвимостта в изпълняване на код от разстояние и качване на файлове, и има сведения за много опити за атаки срещу Drupal сайтове в интернет. За да защитим Drupal сайтовете на нашите клиенти, докато си обновят Drupal инсталациите, закърпихме повече от 3000 приложения на нашите сървъри. Приложената софтуерна кръпка не се отразява на нормалната работа на сайтовете, а само елиминира опасността, причинена от обявената уязвимост.

Въпреки това клиентите трябва да обновят техните Drupal приложения с последната налична версия от Drupal.org.