“Heartbleed” den Korkmayan Yazılım Çözümleri: ManageEngine

Pek çok yazılım firmasının ““Heartbleed” ” güvenlik açığından dolayı sayısız uyarılar aldıkları şu dönemde gururla duyurabiliriz

 

Pek çok yazılım firmasının ““Heartbleed” ” güvenlik açığından dolayı sayısız uyarılar aldıkları şu dönemde gururla duyurabiliriz ki  “ManageEngine” bu konuda TAM NOT almıştır. Zira “ManageEngine” (ME) ürünlerini kullananların bu konuda endişelenmesine hiç gerek yoktur. Çünkü ME ürünlerinin %99’u “Heartbleed”  güvenlik açığına karşı savunmasız değildir. “Desktop Central” ın, “Build 90000” versiyonu hariç ME ürünlerinin hepsi “Heartbleed”  güvenlik açığına karşı kullanıcılarına problem yaşatmayacak ürünlerdir.

ManageEngine ürünlerine %100 GÜ – VE – NE – Bİ – LİR – Sİ – NİZ! ÇÜNKÜ:

“Heartbleed”;  “OpenSSL” in, “TLS” uygulamasında ciddi bir güvenlik açığı hatta internet tarihinin en büyük açığıdır ve bu özelliği ile bilişim dünyasında panik dalgaları yaratmıştır. Ancak ME ve ME’nin Türkiye distribütorü VİTEL olarak size aşağıdaki konularda  %100 GÜVENCE verebiliriz.

1) Password Manager Pro, OpenSSL kütüphaneleri kullanımı yapmaz. Password Manager Pro
ile birlikte sadece “SSL” sertifikası “OpenSSL” sürümünün 0.9.8 versiyonu kullanılarak üretilmiştir. Heartbleed” i etkinleştirmek sadece “TLS” bağlantılarını etkiler. Bu nedenle “Open SSL”in “key” yaratımı, sertifika imzalanması, gelişigüzel bayt yaratımı gibi bölümleri etkilenmez.

2) Password Manager Pro’ nun “underlying” modülleri olan “BIO” ve “MIT” kullandığınızda “Tomcat WEB SERVER” ı kullanabilirsiniz. “APR/ Native” portu “OpenSSL” i kullanır oysa ki,  “BIO” ve “MIT”, “JSSE SSL” bağlantısını kullanmaktadır. Password Manager Pro modüllerinin hiçbiri “APR/Native” bağlantı noktasını kullanmazlar.

Altını çizerek net olarak söyleyebiliriz ki; Password Manager Pro’da tutulan verilerin güvenliği konusunda endişelenmenize hiç gerek yoktur.

ManageEngine ve “Heartbleed”: Hızlı bir özet…

ME’nin  de teyit ettiği gibi “Desktop Central (build 90000)” versiyonu hariç ManageEngine ürünlerinin hiç birinde “Heartbleed”  güvenlik açığı yoktur.  Ancak şunun  yanlış anlaşılmasını istemeyiz. Desktop Central ürünlerinin de sadece bir tek versiyonunda  (build 90000) “Heartbleed” hassasiyeti bulunmaktadır.  Başka hiç bir versiyonunda “Heartbleed”  güvenlik açığı bulunmamaktadır.

Bu durum ME ürünleinin %99’unda sorun yaşanmayacağı anlamına gelir. Eğer “Heartbleed”  güvenlik açığının hepsinde olup olmadığını merak ediyorsanız, aşağıdaki açıklama size yardımcı olacaktır.

“OPENSSL” “TLS” uygulamasının açığı vardır ve yazılım kütüphanelerinde bilgi aktarımı için kullanılmıştır. Aslında bunun bir bellek sızıntısı olduğundan potansiyel sunucu tuşlarının açığına yol açabilir ve hackerler tarafından özel bilgisayarların belleğine ulaşılmasına yardımcı olabilir, özel bilgilere kolay erişilmesini sağlayabilir. Eğer sisteminizin “Heartbleed”  güvenlik açığına karşı savunmasız olup olmadığını teşhis etmek isterseniz, aşağıdaki linkten erişeceğiniz bilgiler size yardımcı olacaktır.

Ayrıca tespit için aşağıdaki adımları kontrol ederek, yukarıdaki linkten erişeceğiniz bilgileri de kullanarak sisteminizdeki “Heartbleed”  güvenlik açığını tespit ederek, bunu düzeltebilirsiniz.
• “OpenSSL” 1.0.1g yüklü sistemler
• Yeniden oluşturulmuş “private keys”
• Yeni bir “CSR”, “CA” de oluşturmak
• İmzalanmış yeni bir sertifika kullanmak
• Eski sertifikayı iptal etmek
–  Heartbleed’ e karşı ne kadar savunmanız var?