0 Compartilhamentos 595 Views

Heartbleed (OpenSSL): Descubra se seu site está vulnerável

9 de abril de 2014

Heartbleed, que já vem sendo considerada uma das maiores falhas de segurança da Web atualmente, é causada pela vulnerabilidade na popular biblioteca de criptografia OpenSSL.

Esta vulnerabilidade permite roubar as informações criptografadas, em condições normais, pelo protocolo SSL/TLS usada para proteção no tráfego de dados da Internet. Esse protocolo de criptografia é utilizado em aplicações tais como: web, e-mail, mensagens instantâneas (IM) e em algumas redes privadas virtuais (VPNs).

Estimasse que a falha pode ter afetado mais de 500.000 servidores.

Quais as versões do OpenSSL foram afetadas?

  • OpenSSL 1.0.1 até 1.0.1f

A falha foi criada em dezembro de 2011 e permaneceu até 1.0.1 lançada em 14 de março de 2012. A versão 1.0.1g, liberada em 7 de abril de 2014, corrige o erro.

As versões abaixo não foram afetadas:

  • OpenSSL 1.0.1g
  • OpenSSL 1.0.0 branch
  • OpenSSL 0.9.8 branch

E quando aos sistemas operacionais afetados?

Alguns dos sistemas operacionais que foram distribuídos com a versão vulnerável do OpenSSL, foram:

  • Debian Wheezy, OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3, OpenSSL 1.0.1c 10 May 2012 and 5.4, OpenSSL 1.0.1c 10 May 2012
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2, OpenSSL 1.0.1e
  • OpenSUSE 12.2, OpenSSL 1.0.1c

Como verificar se meu servidor foi afetado?

O especialista em criptografia Filippo Valsorda publicou uma ferramenta que permite conferir se um determinado website está suscetível à falha Heartbleed em http://filippo.io/Heartbleed/.

Através do site criado por Filippo ainda é possível retirar dúvidas sobre seu teste através da área de FAQ. Ou entrar em contato através de seu Twitter.

O código utilizado para fazer a verificação está disponível no GitHub.

Como corrigir a falha no OpenSSL?

Para corrigir a falha de segurança a versão 1.0.1g ou uma versão ainda mais recente a esta deverá ser instalada. Caso isso não seja possível, o desenvolvedor poderá recompilar o OpenSSL retirando do código o handshake DOPENSSL_NO_HEARTBEATS através das opções para complilação.

Carregando...

Você pode se interessar

Influenciadores digitais que não existem
Artigos
74 visualizações
Artigos
74 visualizações

Influenciadores digitais que não existem

Carlos L. A. da Silva - 2 de dezembro de 2021

Na era da pós-verdade, influenciadores que não são reais estão ganhando espaço para uma multidão que quer ser influenciada

Pais criam aplicativo de código aberto melhor que o da escola, mas a polícia é acionada
Artigos
207 visualizações
Artigos
207 visualizações

Pais criam aplicativo de código aberto melhor que o da escola, mas a polícia é acionada

Carlos L. A. da Silva - 23 de novembro de 2021

Aplicativo oficial do sistema educacional da capital Suécia era ruim demais, mas a lei é a lei...

10 recursos HTML5 úteis que você pode não estar usando
Artigos
461 visualizações
Artigos
461 visualizações

10 recursos HTML5 úteis que você pode não estar usando

Carlos L. A. da Silva - 6 de novembro de 2021

O HyperText Markup Language nos acompanha desde os primórdios da web. É o seu tijolo mais básico. Podem surgir novas tecnologias, plugins, frameworks, conteúdo rico, mas o bom e velho HTML continua sendo a base de tudo e aprender seus mais profundos nuances é fundamental para os desenvolvedores. O HTML5 é a implementação atual da […]

Deixe um Comentário

Your email address will not be published.

Mais publicações

O Metaverso está vindo?
Artigos
525 visualizações
525 visualizações

O Metaverso está vindo?

Carlos L. A. da Silva - 1 de novembro de 2021
Por que eu decidi não migrar para o Windows 11 agora
Artigos
632 visualizações
632 visualizações

Por que eu decidi não migrar para o Windows 11 agora

Carlos L. A. da Silva - 19 de outubro de 2021
Sir Clive Sinclair, o homem adiantado no tempo
Artigos
923 visualizações
923 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021