No dia 07/Abril foi divulgado um bug muito sério no OpenSSL, batizado de Heartbleed (CVE-2014-0160), que é causado por uma falha de implementação no TLS que permite ao atacante obter dados da memória do servidor.
Explorando essa vulnerabilidade, um atacante consegue obter vários blocos aleatórios da memória do servidor SSL, de 64 KB de tamanho cada, e assim remontar esses blocos de dados e ter acesso aos dados que estõa sendo tratados pelo servidor, tais como os dados criptografados na navegação do usuário (mensagens, senhas, etc) e até mesmo as próprias chaves de criptografia utilizadas pelo servidor.
O Bruce Schneier (pausa para babação de ovo) considerou o bug do Heartbleed como uma vulnerabilidade catastrófica ("de 0 a 10, merece 11").
Mas não é para menos, pois essa vulnerabilidade na biblioteca criptográfica do OpenSSL afeta milhões de servidores web em todo o mundo, uma vez que o OpenSSL é utilizado nos servidores Apache e nginx, dois dos softwares mais populares para servidores web: os dois juntos representam cerca de 66% dos sites ativos na Internet. Além disso, o OpenSSL é usado para proteger servidores de e-mail, é usado em redes privadas virtuais (SSL VPNs), e até mesmo em dispositivos de rede e diversos outros softwares. Segundo estimativas da Netcraft, 17,5% dos servidores SSL em todo o mundo estão vulneráveis ao bug, representando cerca de meio milhão de sites.
.png)
Oh! E agora, quem poderá nos defender?
- O pessoal do OpenSSL publicou um pequeno Advisory que indica quais são as versões vulneráveis: 1.0.1 e 1.0.2-beta, incluindo todas as versões até 1.0.1f e 1.0.2-beta1.
- Para corrigir o problema, deve-se fazer o upgrade para a versão 1.0.1g ou recompilar o seu OpenSSL com a opção -DOPENSSL_NO_HEARTBEATS
- Teste se a sua versão do OpenSSL é vulnerável
- O site do Heartbleed tem muita informação sobre o bug em formato de uma longa FAQ
- O Sandro Suffert publicou uma lista com vários detalhes e dicas
Nenhum comentário:
Postar um comentário