Amaran Untuk Pentadbir Sistem Laman Web : OpenSSL Heartbleed Information Disclosure Vulnerability

Amaran Untuk Pentadbir Sistem Laman Web : OpenSSL Heartbleed Information Disclosure Vulnerability

[HIGH ALERT] Status SEGERA dan KRITIKAL.

Semua laman web HTTPS, yang menggunakan OpenSSL sama ada Apache, Nginx dan lain-lain, dalam Linux atau Windows, XAMPP. Sila segerakan kemasan (upgrade).

Rujukan

https://www.openssl.org/news/secadv_20140407.txt

Amaran dari MyCERT http://www.mycert.org.my/en/services/advisories/mycert/2014/main/detail/963/index.html

Pengesanan

Saya gunakan https://www.ssllabs.com/ssltest/ untuk periksa OpenSSL apa yang digunakan.

Selepas keputusan keluar gunakan fungsi find (CTRL dan F) dalam page result, cari OpenSSL. Apa jua versi 1.0.1 perlu kemasan ke 1.0.1g

Bacaan lanjut

http://heartbleed.com/

Bantuan

Pertanyaan dan panduan boleh berbincang di Perbincangan OWASP.my di Facebook

https://www.facebook.com/groups/owaspmy/

Sebaran oleh Harisfazillah Jamel (LinuxMalaysia)

8 Apr 2014

OpenSSL Security Advisory [07 Apr 2014]

TLS heartbeat read overrun (CVE-2014-0160)

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Jemputan Hari Keselamatan ICT - OWASP Day Malaysia 2011

OWASP Day Kuala Lumpur Malaysia 2011

Assalamualaikum dan salam sejahtera

Kami ingin menjemput anda untuk menyertai OWASP Day Malaysia 2011

Hari The Open Web Application Security Project 2011 atau dengan ringkasnya OWASP Day Malaysia 2011 adalah acara julung kali diadakan. Ia adalah anjuran bersama OWASP Malaysia dan Malaysian Institute of Information Technology (MIIT), Universiti Kuala Lumpur (UniKL-MIIT) dengan kerja sama Open Source Developers Community Malaysia (OSDC.my)

Ia akan diadakan dari 20 hingga 21 September 2011 di Universiti Kuala Lumpur (UniKL), Jalan Sultan Ismail, Kuala Lumpur, Malaysia.

Maklumat lanjut boleh dirujuk di laman web rasmi

https://www.owasp.org/index.php/OWASP_Day_KL_2011#tab=Welcome

http://owasp.csscmiit.com/index.html

OWASP Day Malaysia 2011 akan menjadi pentas perkongsian pengetahuan yang mengandungi perbincangan dua hala yang akan mewakili semua pihak yang terlibat dalam dunia keselamatan komputer. Iaitu pembangun perisian berasaskan web (web application), sektor swasta dan kerajaan.

Persidangan ini menyasarkan penyertaan daripada agensi kerajaan dan sektor perindustrian dan perniagaan, diseluruh negara terutama anda yang terlibat dalam keselamatan ICT. Ini adalah peluang yang amat baik untuk anda meningkatkan keupayaan teknologi keselamatan ICT kepada organisasi anda dan membina rangkaian hubungan kepakaran.

Senarai penuh penceramah-penceramah dan jadual terkini OWASP Day Malaysia 2011 boleh dirujuk di laman web

https://www.owasp.org/index.php/OWASP_Day_KL_2011#tab=Agenda

Pendaftaran dan bayaran penyertaan diuruskan oleh MIIT UNIKL

http://owasp.csscmiit.com/owaspRegistration.html

Sekiranya tuan/puan memerlukan penjelasan lanjut, sila hubungi Jawatan kuasa penganjur di alamat emel owaspday@osdc.my atau rujuk kepada laman web diatas untuk nombor telepon hubungan ahli jawatan kuasa.

Facebook Event Page OWASP Day Malaysia 2011

http://www.facebook.com/event.php?eid=103809379720876

UniKL Malaysian Institute of Information Technology (UniKL MIIT)

http://www.unikl.edu.my/

OWASP Malaysia

http://www.owasp.my/

The Open Web Application Security Project (OWASP)

https://www.owasp.org/

OSDC.my

https://www.facebook.com/groups/osdcmalaysia/

Sekian, Terima Kasih.

Harisfazillah Jamel

Bagi pihak penganjur OWASP Day Malaysia 2011

3 September 2011

Be An OWASP Member

Tutorial Keselamatan Perisian Web OWASP

Tutorial Keselamatan Perisian Web OWASP

Anda adalah seorang pembangun laman web?

Ingin tahu tentang SQL injection, cross-site scripting (XSS), langkah untuk menulis perisian web yang selamat dan menyertai kumpulan perbincangan yang melibatkan keselamatan komputer. Baca lanjut.

The Open Web Application Security Project (OWASP) adalah badan bukan kerajaan dan keuntungan yang menumpukan usaha dalam membaiki dan meningkatkan keselamatan perisian web. OWASP sedang menyediakan siri tutorial perjelasan secara umum setiap masalah keselamatan laman web dan penerangan cara serangan dan pertahanan yang boleh dilakukan oleh pembangunan perisian web. Antara episod yang telah dikeluarkan :-

OWASP Appsec Tutorial Series - Episode 1: Appsec Basics

http://www.youtube.com/watch?v=CDbWvEwBBxo

OWASP Appsec Tutorial Series - Episode 2: Injection Attacks

http://www.youtube.com/watch?v=pypTYPaU7mM

episod-episod baru akan terus dikeluarkan dan disebarkan melalui laman web video Youtube. Sila sertai Channel Youtube OWASP Tutorial Series di

http://www.youtube.com/user/AppsecTutorialSeries

Maklumat lanjut tentang The Open Web Application Security Project (OWASP) sila lawat laman rasmi di

http://www.owasp.org/

Bagi kita di Malaysia, sila sertai OWASP Malaysia Local Chapter melalui laman web

http://www.owasp.my/

http://www.owasp.org/index.php/Malaysia

http://bit.ly/owaspmy

atau Facebook OWASP Malaysia

http://www.facebook.com/OWASP.Malaysia

Perbincangan melalui email boleh anda sertai dengan mendaftar di

https://lists.owasp.org/mailman/listinfo/owasp-Malaysia

Sekian, terima kasih

Harisfazillah Jamel

http://blog.harisfazillah.info/

OWASP Malaysia

09022011

Update Your Internet Explorer Or Change Your Internet Browser or Change Your Operating System

http://blog.harisfazillah.info/2011/02/update-your-internet-explorer-or-change.html

http://fb.me/EKoNbrWP