• Red Hat Alerta para Falhas no OpenSSL

    Publicado em 17-11-2010 11:43
    0 Comentários Comentários
    Através da publicação de um importante comunicado, a distribuidora Red Hat Linux tem advertido que uma vulnerabilidade de segurança no OpenSSL, que poderia causar danos em aplicativos multithread, potencialmente pode ser explorada de maneira remota para invadir um servidor. As versões afetadas incluem OpenSSL 0.9.8f à 0.9.8o, 1.0.0 e 1.0.0a. A atualização do OpenSSL 0.9.8p ou 1.0.0b fecha a falha em questão. O problema é causado por uma race condition no código OpenSSL para analisar extensões TLS. Em certas circunstâncias, um buffer overflow pode potencialmente ser acionado se várias sessões tentarem definir um hostname através de uma extensão TLS. Isso permite que atacantes possam injetar até 255 bytes de código no application's heap, e assim executá-lo.



    No entanto, os desenvolvedores do OpenSSL ressaltam que a falha só existe em servidores que suportam multi-thread e utilizam recursos de cache interno do OpenSSL. O servidor web Apache e soluções como Stunnel são considerados isentos desta vulnerabilidade, porque não suportam o cache interno por padrão. Quando testados em processadores de núcleo único pelos desenvolvedores do Red Hat, a falha foi aparentemente explorada. Em processadores multi-core, o potencial para criar uma race condition é considerado superior.

    Todos os usuários devem fazer o quanto antes a atualização para os pacotes, que contem um patch para resolver esse problema. Para a atualização fazer efeito, todos os serviços relacionados com a biblioteca OpenSSL devem ser reiniciados.


    Saiba Mais:

    [1] OpenSSL Security Update: http://rhn.redhat.com/errata/RHSA-2010-0888.html
    [2] OpenSSL: http://www.openssl.org/source/
    + Enviar Comentário