• Vulnerabilidade OpenSSL Heartbleed Compromete Servidores

    Publicado em 10-04-2014 02:30
    0 Comentários Comentários
    OpenSSL lançou um aviso de bug sobre um vazamento de memória de em sua biblioteca. O erro foi atribuído ao protocolo TLS, abordado a partir da CVE - 2014-0160 "heartbeat read overrun". De acordo com o OpenSSL, a extensão foi introduzida em março de 2012 com o lançamento da versão 1.0.1 do OpenSSL. Isto quer dizer, que a vulnerabilidade existe em torno de pouco mais de 2 anos. Essa é uma vulnerabilidade muito grave, que permitirá que informações protegidas possam ser roubadas, mesmo com o uso de criptografia SSL/TLS.


    Desde o anúncio, houve muitas especulações em torno dos atacantes clandestinos e mal-intencionados, que promoveram vazamento ativo dos dados da biblioteca de software, e usaram uma parte do código PoC fornecido para atacar a enorme quantidade de serviços disponíveis na Internet. Vale ressaltar que apenas as versões 1.0.1 e 1.0.2- beta versões do OpenSSL são afetadas, incluindo 1.0.1f e 1.0.2 -beta1. Os alvos são, principalmente, a porta 443.

    Com isso, um atacante é capaz de vazar dados previamente alocados. Isso não inclui as credenciais de texto simples, cookies de sessão, chaves privadas para decriptografar (arbitrariamente comunicação envolvendo protocolos SSL / TLS), e muito mais. O OpenSSH não parece ser suscetível à vulnerabilidade, devido ao OpenSSL ser usado para geração de chaves, mas não de comunicação.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=16661
    + Enviar Comentário