Uma vulnerabilidade gravíssima chamada Heartbleed Bug foi divulgada pelos pesquisadores da empresa Codenomicon e do Google. A falha Heartbleed, afeta a extensão heartbleed (RFC 6520) que é implementada no OpenSSL. O Common Vulnerabilities and Exposures (CVE) atribuiu o seguinte número de referência CVE- 2014-0160 à vulnerabilidade.
OVERVIEW
- A vulnerabilidade no Heartbleed não é uma falha do protocolo SSL/TLS e também não é uma falha da Autoridade Certificadora (CA) ou dos seus sistemas de gerenciamento de certificados.
- Versões afetadas:
- OpenSSL 1.0.1 até a 1.0.1f .
- Versões não afetadas:
- OpenSSL 1.0.1g, 0.9.8 e 1.0.0.
- Os sistemas afetados são bastante difundidos e bem generalizados. O OpenSSL é usado no Apache e Nginx , além de sistemas operacionais como o Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 e 5.4, FreeBSD 8.4 e 9.1, NetBSD 5.0.2 e OpenSUSE 12.2.
QUAIS OS RISCOS GERADOS POR ESTA VULNERABILIDADE?
Essa falha permite que um invasor leia a memória do sistema através da Internet e comprometa as chaves privadas, nomes, senhas e conteúdo de um website. O que torna a falha mais grave, é que o ataque não é registrado nos logs e caso não seja aplicado uma prevenção ou configuração específica que o detecte, ele se torna indetectável. O ataque pode partir do cliente para o servidor ou do servidor para o cliente.
COMO CORRIGIR A VULNERABILIDADE?
Se você estiver usando uma versão vulnerável do OpenSSL , você precisa considerar as seguintes ações emergenciais:
– Primeiro Passo: Atualize seu sistema para uma versão de software que utiliza o OpenSSL 1.0.1g ou superior;
– Segundo Passo: Somente após a atualização acima solicite a remissão dos seus certificados SSL com uma nova chave privada.
– Terceiro Passo: Solicite aos seus usuários que alterem as suas senhas de acesso.
Os clientes da TrustSign que utilizam a solução Site Monitorado, podem ficar tranquilos, pois todos os servidores da empresa estão atualizados e todo portal que está na infraestrutura está protegido.
Maiores informações: http://heartbleed.com/