0 Compartilhamentos 559 Views

Heartbleed (OpenSSL): Descubra se seu site está vulnerável

9 de abril de 2014

Heartbleed, que já vem sendo considerada uma das maiores falhas de segurança da Web atualmente, é causada pela vulnerabilidade na popular biblioteca de criptografia OpenSSL.

Esta vulnerabilidade permite roubar as informações criptografadas, em condições normais, pelo protocolo SSL/TLS usada para proteção no tráfego de dados da Internet. Esse protocolo de criptografia é utilizado em aplicações tais como: web, e-mail, mensagens instantâneas (IM) e em algumas redes privadas virtuais (VPNs).

Estimasse que a falha pode ter afetado mais de 500.000 servidores.

Quais as versões do OpenSSL foram afetadas?

  • OpenSSL 1.0.1 até 1.0.1f

A falha foi criada em dezembro de 2011 e permaneceu até 1.0.1 lançada em 14 de março de 2012. A versão 1.0.1g, liberada em 7 de abril de 2014, corrige o erro.

As versões abaixo não foram afetadas:

  • OpenSSL 1.0.1g
  • OpenSSL 1.0.0 branch
  • OpenSSL 0.9.8 branch

E quando aos sistemas operacionais afetados?

Alguns dos sistemas operacionais que foram distribuídos com a versão vulnerável do OpenSSL, foram:

  • Debian Wheezy, OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3, OpenSSL 1.0.1c 10 May 2012 and 5.4, OpenSSL 1.0.1c 10 May 2012
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2, OpenSSL 1.0.1e
  • OpenSUSE 12.2, OpenSSL 1.0.1c

Como verificar se meu servidor foi afetado?

O especialista em criptografia Filippo Valsorda publicou uma ferramenta que permite conferir se um determinado website está suscetível à falha Heartbleed em http://filippo.io/Heartbleed/.

Através do site criado por Filippo ainda é possível retirar dúvidas sobre seu teste através da área de FAQ. Ou entrar em contato através de seu Twitter.

O código utilizado para fazer a verificação está disponível no GitHub.

Como corrigir a falha no OpenSSL?

Para corrigir a falha de segurança a versão 1.0.1g ou uma versão ainda mais recente a esta deverá ser instalada. Caso isso não seja possível, o desenvolvedor poderá recompilar o OpenSSL retirando do código o handshake DOPENSSL_NO_HEARTBEATS através das opções para complilação.

Carregando...

Você pode se interessar

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)
Artigos
158 visualizações
Artigos
158 visualizações

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)

Carlos L. A. da Silva - 6 de outubro de 2021

V8 é o interpretador JavaScript, também chamado de máquina virtual Javascript, desenvolvido pela Google e utilizado em seu navegador Google Chrome. Com o peso de seus criadores e a quase onipresença do navegador, foi apenas uma questão de tempo para essa implementação do JavaScritp se tornar dominante no mercado. Entretanto, um bom desenvolvedor sabe que […]

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
341 visualizações
Artigos
341 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

A cibersegurança por trás das vacinas
Artigos
444 visualizações
Artigos
444 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021

Vacinas contra o coronavírus contam com aparato sofisticado de cibersegurança que bateu de frente com tentativa de ação de hackers.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Top 25 comandos do Git
Artigos
583 visualizações
583 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021
Dez anos de Kotlin: origens e futuro
Artigos
629 visualizações
629 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021
10 jogos que todo programador deveria conhecer
Artigos
997 visualizações
997 visualizações

10 jogos que todo programador deveria conhecer

Carlos L. A. da Silva - 1 de agosto de 2021