2014/04/08

Heartbleed Bug no OpenSSL deixa inúmeros sites "seguros" em risco


Há um novo bug que vem causar dores de cabeça em todos os que pensavam ter sites seguros. O chamado Heartbleed bug afecta o OpenSSL, e torna-se num vector de risco preocupante que permite não só interceptar o conteúdo das comunicações "seguras" como as próprias chaves SSL.

Já por cá falamos de como é possível fazer-se uma comunicação segura utilizando canais potencialmente inseguros, e na grande maioria dos casos esse sistema usa o OpenSSL. O que se passa é que existe este bug "Heartbleed" que afecta as versões 1.0.1 e 1.0.2 beta do OpenSSL e que transforma essas ligações supostamente seguras em ligações altamente vulneráveis e que colocam utilizadores e os próprios servidores em risco.

Esta falha permite que um atacante consiga descodificar as mensagens seguras enviadas entre utilizadores e servidores que usem estas versões do software, e também recuperar as chaves primárias e secundárias do SSL, algo que por si só até fará arrepiar qualquer administrador de sistemas. Dentro da gravidade do problema, a única boa notícia é a de que este bug se deve a uma falha na programação destas versões e não devido a uma falha implícita do sistema SSL - o que faz com que o problema seja de fácil resolução, passando-se a utilizar uma versão do OpenSSL corrigida (1.0.1g, e brevemente numa nova versão beta). Também a Red Hat, Debian, SuSE, Canonical, Oracle e outros, estão também a trabalhar a ritmo acelerado para garantir que estas correcções chegam a todos os seus clientes e utilizadores.

Se têm algum sistema a vosso cargo que utilize uma destas versões do OpenSSL, é de importância crítica que tratem do problema quanto antes.

1 comentário: