Logo E-Commerce Brasil

// Este canal tem o patrocínio de:

Bling
ClearSale
DHL
Estoca
Frete Rápido
Globalfy
Infracommerce
Olist
Omie
Platinum Log
SELIA powered by Luft
Total Express
Vindi
2 min

Vulnerabilidade crítica no openssl heartbleed

Foto Redação E-Commerce Brasil
Por: Redação E-Commerce Brasil

Equipe de jornalismo E-Commerce Brasil

Uma vulnerabilidade gravíssima chamada Heartbleed Bug foi divulgada pelos pesquisadores da empresa Codenomicon e do Google. A falha Heartbleed, afeta a extensão heartbleed (RFC 6520) que é implementada no OpenSSL. O Common Vulnerabilities and Exposures (CVE) atribuiu o seguinte número de referência CVE- 2014-0160 à vulnerabilidade.

OVERVIEW

  • A vulnerabilidade no Heartbleed não é uma falha do protocolo SSL/TLS e também não é uma falha da Autoridade Certificadora (CA) ou dos seus sistemas de gerenciamento de certificados.
  • Versões afetadas:
    • OpenSSL 1.0.1 até a 1.0.1f .
  • Versões não afetadas:
    •  OpenSSL 1.0.1g,  0.9.8 e 1.0.0.
  • Os sistemas afetados são bastante difundidos e bem generalizados. O OpenSSL é usado no Apache e Nginx , além de sistemas operacionais como o Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 e 5.4, FreeBSD 8.4 e 9.1, NetBSD 5.0.2 e OpenSUSE 12.2.

QUAIS OS RISCOS GERADOS POR ESTA VULNERABILIDADE?

Essa falha permite que um invasor leia a memória do sistema através da Internet e comprometa as chaves privadas, nomes, senhas e conteúdo de um website. O que torna a falha mais grave, é que o ataque não é registrado nos logs e caso não seja aplicado uma prevenção ou configuração específica que o detecte, ele se torna indetectável. O ataque pode partir do cliente para o servidor ou do servidor para o cliente.

COMO CORRIGIR A VULNERABILIDADE?

Se você estiver usando uma versão vulnerável do OpenSSL , você precisa considerar as  seguintes ações emergenciais:

– Primeiro Passo: Atualize seu sistema para uma versão de software que utiliza o OpenSSL 1.0.1g ou superior;

– Segundo Passo: Somente após a atualização acima solicite a remissão dos seus certificados SSL com uma nova chave privada.

– Terceiro Passo: Solicite aos seus usuários que alterem as suas senhas de acesso.

Os clientes da TrustSign que utilizam a solução Site Monitorado, podem ficar tranquilos, pois todos os servidores da empresa estão atualizados e todo portal que está na infraestrutura está protegido.

Maiores informações: http://heartbleed.com/