Brecha de segurança no OpenSSL (CVE-2014-0160)

Nas últimas duas semanas tivemos uma grande movimentação devido a uma brecha de segurança no OpenSSL (CVE-2014-0160), dizem que esta ai deste de 2011 e ninguém havia detectado até agora. Provavelmente você já deve ter lido diversos outros artigos tratando desta vulnerabilidade já que ela foi amplamente coberta por diversos blogs e sites de tecnologia do mundo inteiro.

A vulnerabilidade compreende as versões do OpenSSL nas versões 1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e e 1.0.1f, servidores com CentOS 5.x que utilizam apenas o repositório oficial, a principio não estão vulneráveis, por utilizar variantes da versão 0.9.8 do OpenSSL, já na versão 6.x a vulnerabilidade existe.

Para verificar se o meu ambiente estava vulnerável eu utilizei duas ferramentas, a primeira foi divulgada em tudo que é canto que é a Heartbleed test, inclusive você pode fazer o download do código no GitHub e criar um script para testar vários sites por exemplo, e a segunda faz uma analise de outros itens relacionados a SSL além da falha de Heartbleed, disponível no site da Qualys, Inc.

A comunidade CentOS já publicou uma atualização do OpenSSL para corrigir a brecha, para atualizar basta usar o yum:

yum update openssl

O nome do pacote é openssl-1.0.1e-16.el6_5.7.i686 para 32 bits e openssl-1.0.1e-16.el6_5.7.x86_64 para 64 bits

Após executar a atualização reinicie o web server que esta sendo utilizado.

Recomento também a leitura dos seguintes artigos sobre o assunto:

É isso pessoal, sei que é mais do mesmo, mais achei importante escrever sobre o assunto, até a próxima 🙂

 

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.