Desfrute de milhões dos mais recentes aplicativos do Android, jogos, músicas, filmes, TV, livros, revistas e muito mais. A qualquer hora, em qualquer lugar, em seus dispositivos.
Uma falha muito séria acaba de ser descoberta no OpenSSL-uma biblioteca criptográfica de código aberto e muito popular, que já incitou um pânico menor (por enquanto) entre os especialistas em segurança. De acordo com o Boletim de Segurança lançado recém -lançado pelo Projeto OpenSSL, uma verificação de limites ausentes no manuseio da extensão de batimentos cardíacos do TLS pode ser usada para revelar até 64k de memória a um cliente ou servidor conectado.
Na prática, isso permite o roubo de informações protegidas (em condições normais) pela criptografia SSL/TLS usada para proteger a Internet.
Os protocolos SSL/TLS fornecem segurança e privacidade de comunicação pela Internet para aplicativos como Web, email, mensagens instantâneas (IM) e algumas redes privadas virtuais (VPNs). Os invasores podem roubar chaves secretas, nomes de usuário e senhas, mensagens instantâneas, e -mails e documentos críticos e comunicação dos negócios - tudo isso sem deixar um rastro.
Isso torna a falha (que já recebeu um pseudônimo de 'bug ardente') absolutamente crítico; portanto, as contramedidas devem ser tomadas prontamente.
Ainda não há uma palavra sobre quão amplamente a falha pode ter sido explorada até agora. No entanto, o Vulnerable OpenSSL 1.0.1 foi lançado em março de 2012. Quem poderia ter aprendido sobre a falha de segurança em questão poderia ter entrado em comunicações de TSL/SSL, desde então. Isso torna o problema potencialmente global: o OpenSSL é usado por software de servidor muito popular, como Apache e Nginx. Sua participação de mercado combinada é superior a 66%, de acordo com a pesquisa do Web Server de abril de 2014 da Netcraft, e eles são comumente usados por empresas de todos os tamanhos.
A partir de hoje, vários sistemas operacionais do tipo nix*também são afetados, pois são embalados com o OpenSSL vulnerável:
Debian Wheezy (estável), OpenSSL 1.0.1e-2+DEB7U4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1C) и 5.4 (OpenSSL 1.0.1C)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1C)
Netbsd 5.0.2 (OpenSSL 1.0.1E)
OpenSuse 12.2 (OpenSSL 1.0.1C)
Os pacotes com versões mais antigas do OpenSSL-Debian Squeeze (Oldstable), OpenSSL 0.9.8O-4SQUEEze14, SUSE Linux Enterprise Server-estão livres dessa falha.
Entre as partes possivelmente afetadas estão os fornecedores e distribuição do sistema operacional, fornecedores de eletrodomésticos, juntamente com fornecedores de software independentes. Eles são fortemente incentivados a adotar a correção - OpenSSL 1.0.1G - o mais rápido possível e notificar seus usuários sobre possíveis vazamentos de senha. Novas chaves e certificados secretos também devem ser gerados.
Os provedores de serviços e usuários precisam instalar a correção, pois ele fica disponível para os sistemas operacionais, aparelhos em rede e software que eles usam.
Uma ferramenta on-line, que permite o teste de qualquer servidor por seu nome de host para bug CVE-2014-0160, já está em vigor e é recomendável que você o confira.
Novamente, um invasor que poderia ter explorado que a vulnerabilidade não deixaria absolutamente nenhum traço nos sistemas atacados, portanto não há como aprender se alguém estava realmente comprometido. Todo negócio que usa o OpenSSL 1.0.1 a 1.0.1f está em perigo, portanto, a única ação razoável agora é conectar esse poço de segurança o mais rápido possível.
Expandir
Data de Lançamento
Tamanho
Categoria
Escritório de NegóciosNome do Pacote
