Blog -- Veezon

Heartbleed -- Falha de segurança no OpenSSL

O bug chamado Heartbleed é uma séria vulnerabilidade no popular OpenSSL (biblioteca de software de criptografia). Esta fraqueza permite roubar as informações protegidas, em condições normais, pela criptografia SSL/TLS, usada para proteger a Internet. O protocolo SSL/TLS fornece comunicação segurança e privacidade na Internet para aplicações como web, email, mensagem instantânea e algumas redes privadas virtuais (VPNs).

O Heartbleed permite que qualquer pessoa na Internet possa ler a memória dos sistemas protegidos pelas versões vulneráveis do software OpenSSL. Ele compromete as chaves secretas usadas para identificar os fornecedores de serviços e para criptografar o tráfego, os nomes e senhas de usuários e o conteúdo real. Isso permite que atacantes possam espionar as comunicações, roubar dados diretamente dos serviços e dos usuários e ainda representar usuários e serviços.

A página oficial do OpenSSL mostra a vulnerabilidade como sendo identificada no dia 07/04/2014.

As versões afetadas pelo Heartbleed são as abaixo:

  • 1.0.1f
  • 1.0.1e
  • 1.0.1d
  • 1.0.1c
  • 1.0.1b
  • 1.0.1a
  • 1.0.1

Os sistemas operacionais derivados do Red Hat 6.5 para cima foram todos afetados. Para corrigir o problema, é necessário atualizar a versão do OpenSSL para a 1.0.1g.

Todos os servidores gerenciados pela Veezon já foram atualizados para o último patch e estão preparados para atualizar novamente caso surja um novo.

Assuma que seu servidor foi comprometido. A exploração dessa vulnerabilidade não deixa rastros, então não há como saber se informações sensíveis foram descobertas ou não.

Existe a necessidade de mudar suas senhas e gerar um novo par de chaves para o certificado.

Entre em contato com a empresa onde você adquiriu seu certificado SSL e peça um novo. As maiores empresas estão preparadas para atender sua solicitação rapidamente. Não adianta apenas reinstalar o certificado antigo, é preciso mudar as chaves, por isso o certificado precisa ser refeito.

Mais informações sobre o Heartbleed podem ser vistas na página http://heartbleed.com/

Você pode testar se seu servidor ainda está vulnerável ao Heartbleed nesta página: http://filippo.io/Heartbleed/

Segurança

Publicação feita em 09/04/2014 às 16hs