(41) 9225-6319
contato@felipemarques.com.br
com-bug-fix-security-openssl
11
abr

Falha de Segurança no OpenSSL

Neste rápido post, mostro como testar a falha de segurança que está mobilizando o mundo. Conhecido como “HeartBleed”, a falha deixa vulnerável dados sigilosos de diversos portais, lojas virtuais e sistemas pelo mundo a fora.

Diversos clientes possuem planos de hospedagem comigo, e hospedam suas lojas virtuais na amazon, sendo lojas Opencart, Prestashop ou Magento. Ele foram afetados pelo problema, mas o mesmo foi corrigido, em menos de 24 horas.

Para testar a falha de segurança acesse: http://filippo.io/Heartbleed/

Mas o que é o Heartbleed? – A vulnerabilidade no software foi encontrada pelo pesquisador Neel Mehta, do Google, e identificada como CVE-2014-0160. Ela afeta o OpenSSL nas versões 1.0.0 até a 1.0.2beta, incluindo aí a edição estável mais recente 1.0.1f. Isso significa que ela já estava presente – mesmo que inadvertidamente – há pelo menos dois anos em um software adotado massivamente por administradores de servidores pela web. Aliás, edições do Debian Wheezy, do Ubuntu, do Fedora, do OpenBSD e de alguns outros sistemas operacionais de código aberto também podem estar usando uma versão vulnerável do OpenSSL – vale checar aqui, em “How about operating systems?”.

O problema está na extensão “Heartbeat” (RFC6520), adicionada à biblioteca justamente no OpenSSL 1.0.0. Pela brecha nela, invasores podem pescar até 64 Kb – um “heartbeat”, ou batida de coração – de dados aleatórios hospedados nas máquinas. Parece pouco, mas o processo pode ser repetido até que alguma informação relevante seja obtida.

Fonte: info.abril.com.br

 

Facebook Auto Publish Powered By : XYZScripts.com
bool(false)