CVE-2014-0160 / Vulnérabilité Heartbleed OpenSSL

CVE-2014-0160 / Vulnérabilité Heartbleed OpenSSL

Au cours des deux derniers jours, notre équipe a travaillé d’arrache-pied pour répondre à la nouvelle divulgation CVE-2014-0160 vulnérabilité (alias Heartbleed). Nous avons terminé la vérification de notre service contre le bogue en mettant à niveau nos bibliothèques OpenSSL, en remplaçant les certificats et en modifiant les informations d’identification. Bien que nous n’ayons aucune raison de soupçonner que la sécurité de notre service a été violée, nous recommandons fortement à tous nos utilisateurs de modifier tous leurs mots de passe et certificats en suivant les étapes décrites dans les sections ci-dessous :

Instructions pour les utilisateurs qui se connectent via le site Web Redis

Pour empêcher tout accès non autorisé à votre compte Redis, modifiez votre mot de passe de connexion :

  1. Connectez-vous à votre compte sur https://redis.com/?login=1.

  2. Clique le Profil entrée du menu supérieur pour accéder à votre profil.

  3. Saisissez votre nouveau mot de passe et cliquez sur sauvegarder pour appliquer le changement.

Ensuite, vous devez changer le mot de passe de vos ressources Redis Cloud et Memcached Cloud. Pour ce faire, suivez ces étapes depuis la console de votre compte :

  1. Accéder au Gérer les ressources page en cliquant la rubrique MES RESSOURCES->Gérer entrée de menu.

  2. Modifiez le mot de passe de chacune de vos ressources Redis Cloud et Memcached Cloud avec authentification SASL :

    1. Cliquez sur la ressource pour la sélectionner et afficher ses propriétés.

    2. Clique le Éditer bouton en bas de la page.

    3. Entrez un nouveau mot de passe dans le Mot de passe Redis champ (ou le Mot de passe d’authentification SASL pour les ressources Memcached Cloud).

    4. Clique le Mise à jour bouton en bas de la page pour appliquer la modification.

Si vous êtes abonné à nos forfaits Redis Cloud et Memcached Cloud protégés par SSL, nous vous recommandons vivement de remplacer les certificats de vos ressources. Cela peut être fait en modifiant votre ressource et en générant ou en téléchargeant un nouveau certificat client sous le Authentification des clients SSL section.

Enfin, une fois que vous avez modifié le mot de passe d’une ressource cloud Redis, vous devez également appliquer la modification à l’environnement de votre application.

Instructions pour les utilisateurs de Heroku

Pour modifier le mot de passe de vos ressources Redis Cloud ou Memcached Cloud Add-On, suivez ces étapes :

  1. Connectez-vous à votre compte Heroku sur https://id.heroku.com/login.

  2. Accédez aux modules complémentaires de votre application et cliquez sur le module complémentaire Redis Cloud (ou Memcached Cloud) pour accéder à la console du module complémentaire.

  3. Accéder au Gérer les bases de données page en cliquant sur le MES BASES->Gérer entrée de menu (ou MES BUCKETS->Gérer entrée de menu pour le module complémentaire Memcached Cloud).

  4. Modifiez le mot de passe de chacune de vos ressources Redis Cloud (et Memcached Cloud) :

    1. Cliquez sur la ressource pour la sélectionner et afficher ses propriétés.

    2. Clique le Éditer bouton en bas de la page.

    3. Entrez un nouveau mot de passe dans le Mot de passe Redis champ (ou le Mot de passe d’authentification SASL pour les ressources Memcached Cloud).

    4. Clique le Mise à jour bouton en bas de la page pour appliquer la modification.

Une fois que vous avez modifié le mot de passe d’une ressource cloud Redis, vous devez également appliquer la modification à l’environnement de votre application. Pour mettre à jour l’environnement de votre application Heroku avec un nouveau mot de passe Redis Cloud, utilisez la CLI pour modifier la variable de configuration de la manière suivante pour le module complémentaire Redis Cloud :

$ heroku config:set REDISCLOUD_URL=redis://rediscloud:@:

De même, si votre application utilise notre module complémentaire Memcached Cloud, utilisez la syntaxe suivante :

$ heroku config:set MEMCACHEDCLOUD_URL=memcached://:@:

Assurez-vous de remplacer les espaces réservés (par exemple, , , ,…) par les informations pertinentes pour votre ressource. Notez également que toute modification des variables de configuration de votre application redémarrera votre application.

Instructions pour les utilisateurs de CloudFoundry

Pour modifier le mot de passe de vos ressources Redis Cloud ou Memcached Cloud Add-On, suivez ces étapes :

  1. Connectez-vous à votre compte CloudFoundry sur https://login.run.pivotal.io/login.

  2. Accédez aux modules complémentaires de votre application et cliquez sur le module complémentaire Redis Cloud (ou Memcached Cloud) pour accéder à la console du module complémentaire.

  3. Accéder au Gérer les bases de données page en cliquant sur le MES BASES->Gérer entrée de menu (ou MES BUCKETS->Gérer entrée de menu pour le module complémentaire Memcached Cloud).

  4. Modifiez le mot de passe de chacune de vos ressources Redis Cloud (et Memcached Cloud) :

    1. Cliquez sur la ressource pour la sélectionner et afficher ses propriétés.

    2. Clique le Éditer bouton en bas de la page.

    3. Entrez un nouveau mot de passe dans le Mot de passe Redis champ (ou le Mot de passe d’authentification SASL pour les ressources Memcached Cloud).

    4. Clique le Mise à jour bouton en bas de la page pour appliquer la modification.

Une fois que vous avez modifié le mot de passe d’une ressource cloud Redis, vous devez également appliquer la modification à l’environnement de votre application. Pour mettre à jour le VCAP_SERVICES variable d’environnement de votre application CloudFoundry avec vos détails de connexion Redis Cloud, utilisez la CLI comme suit (formaté pour la lisibilité) :

$ cf set-env –app –name VCAP_SERVICES –value ‘{

rediscloud-n/a : [

{

name: “rediscloud-42”,

label: “rediscloud-n/a”,

plan: “<plan>”,

credentials: {

port: “<port>”,

hostname: “<host>”,

password: “<password>”

}

}

]

}’

La même approche doit être utilisée pour votre ressource Memcached Cloud :

$ cf set-env –app –name VCAP_SERVICES –value ‘{

memcachedcloud-n/a : [

{

name: “memcachedcloud-42”,

label: “memcachedcloud-n/a”,

plan: “<plan>”,

credentials: {

servers: “<host>:<port>”,

username: “<user>”,

password: “<password>”

}

}

]

}’

Important: si votre variable VCAP_SERVICES se compose de services supplémentaires, assurez-vous qu’ils ne sont pas écrasés par la mise à jour du mot de passe.

Assurez-vous de remplacer les espaces réservés (par exemple, , , ,…) par les informations pertinentes pour votre ressource. Notez également que toute modification des variables d’environnement de votre application redémarrera votre application.

Instructions pour les utilisateurs d’AppHarbor

Pour modifier le mot de passe de vos ressources Redis Cloud ou Memcached Cloud Add-On, suivez ces étapes :

  1. Connectez-vous à votre compte AppHarbor sur https://appharbor.com/session/new.

  2. Accédez aux modules complémentaires de votre application et cliquez sur le module complémentaire Redis Cloud (ou Memcached Cloud) pour accéder à la console du module complémentaire.

  3. Accéder au Gérer les bases de données page en cliquant sur le MES BASES->Gérer entrée de menu (ou MES BUCKETS->Gérer entrée de menu pour le module complémentaire Memcached Cloud).

  4. Modifiez le mot de passe de chacune de vos ressources Redis Cloud (et Memcached Cloud) :

    1. Cliquez sur la ressource pour la sélectionner et afficher ses propriétés.

    2. Clique le Éditer bouton en bas de la page.

    3. Entrez un nouveau mot de passe dans le Mot de passe Redis champ (ou le Mot de passe d’authentification SASL pour les ressources Memcached Cloud).

    4. Clique le Mise à jour bouton en bas de la page pour appliquer la modification.

Une fois que vous avez modifié le mot de passe d’une ressource cloud Redis, vous devez également appliquer la modification à l’environnement de votre application. Pour mettre à jour les variables de configuration de votre application AppHarbor, accédez à l’onglet Variables de configuration dans votre console AppHarbor. Une fois dans cet onglet, localisez le REDISCLOUD_URL variables (ou MEMCACHEDCLOUD_URL variable) et modifiez sa valeur pour refléter le nouveau mot de passe de votre base de données.

Notez que toute modification des variables de configuration de votre application redémarrera votre application.

Instructions pour les utilisateurs d’AppFog

Pour modifier le mot de passe de vos ressources Redis Cloud ou Memcached Cloud Add-On, suivez ces étapes :

  1. Connectez-vous à votre compte AppFog sur https://console.appfog.com/login.

  2. Accédez aux modules complémentaires de votre application et cliquez sur le module complémentaire Redis Cloud (ou Memcached Cloud) pour accéder à la console du module complémentaire.

  3. Accéder au Gérer les bases de données page en cliquant sur le MES BASES->Gérer entrée de menu (ou MES BUCKETS->Gérer entrée de menu pour le module complémentaire Memcached Cloud).

  4. Modifiez le mot de passe de chacune de vos ressources Redis Cloud (et Memcached Cloud) :

    1. Cliquez sur la ressource pour la sélectionner et afficher ses propriétés.

    2. Clique le Éditer bouton en bas de la page.

    3. Entrez un nouveau mot de passe dans le Mot de passe Redis champ (ou le Mot de passe d’authentification SASL pour les ressources Memcached Cloud).

    4. Clique le Mise à jour bouton en bas de la page pour appliquer la modification.

Une fois que vous avez modifié le mot de passe d’une ressource cloud Redis, vous devez également appliquer la modification à l’environnement de votre application. Pour mettre à jour les variables de configuration de votre application AppFog, accédez à l’onglet Env Variables. Une fois dans cet onglet, localisez le REDISCLOUD_URL variables (ou MEMCACHEDCLOUD_URL variable) et modifiez sa valeur pour refléter le nouveau mot de passe de votre base de données.

Notez que toute modification des variables d’environnement de votre application redémarrera votre application.

Development Source

Related Posts

RLEC 4.2.1 apporte des contrôles granulaires à la haute disponibilité et aux performances

RLEC 4.2.1 apporte des contrôles granulaires à la haute disponibilité et aux performances

Comment HolidayMe utilise Redis Enterprise comme base de données principale

Comment HolidayMe utilise Redis Enterprise comme base de données principale

Annonce de RedisGears 1.0 : un moteur sans serveur pour Redis

Annonce de RedisGears 1.0 : un moteur sans serveur pour Redis

Clés Redis dans la RAM |  Redis

Clés Redis dans la RAM | Redis

No Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *