Vulnerabilidade no OpenSSL pode derrubar serviços

por

[Atualizado em 19/03/15] As vulnerabilidades foram anunciadas hoje. A mais séria delas, a CVE-2015-0291,  permite o uso de um certificado forjado para causar um DoS (Denial of Service) no servidor ou cliente. Não permite a invasão ou o acesso ao tráfego criptografado, mas dependendo do perfil do seu negócio, ficar com a aplicação web fora do ar pode ser significativo. Recomendamos o upgrade tão logo possível do OpenSSL 1.2.0 para 1.2.0a.

Leia a íntegra do release aqui.

 

[Post original abaixo]

O time responsável pela manutenção do OpenSSL divulgará uma atualização na próxima quinta dia 19 de março. Segundo um comunicado, a atualização visa a correção de uma série de vulnerabilidades de segurança, sendo que a mais grave é classificada como de “alta” criticidade.

 

As novas versões são as  1.0.2a, 1.0.1m, 1.0.0r e 0.9.8zf. Como o OpenSSL é largamente utilizado, vulnerabilidades neste pacote tem sempre grande impacto, como foi o caso da vulnerabilidade que ficou conhecida como Heartbleed. Um dos problemas é que, justamente pela sua ampla utilização, frequentemente o OpenSSL é encontrado embarcado em outros dispositivos, que nem sempre são de fácil atualização, deixando estes sistemas vulneráveis.

O breve informativo do projeto OpenSSL pode ser lido na integra neste link.

Iremos atualizar este post conforme mais informações estiverem disponíveis.

Categoria : Ataques, Criptografia
Tags : , , ,