Falha grave de segurança no OpenSSL 1.0.0

heartbleedChamada de Heartbleed, a brecha permite que invasores ‘pesquem’ pedaços de quaisquer dados em diversos data centers que rodam alguma versão recente do software. A recomendação inicial, para todos os sistemas que utilizam o OpenSSL, especialmente os que fazem uso do protocolo HTTPS, é revogar os certificados e chaves geradas com a versão OpenSSL 1.0.0 e atualizar o mais rápido possível para a versão 1.0.1 da ferramenta.

Aparentemente versões mais antigas do OpenSSL não possuem esta vulnerabilidade. Contudo, o melhor mesmo é realizar o upgrade. Você também pode testar se o seu servidor está vulnerável através de um dos sites abaixo:

Via info.abril.com.br,

A biblioteca open source de criptografia OpenSSL é adotada por aproximadamente 2 em cada 3 servidores de empresas para blindar comunicações, segundo uma estimativa da Lastpass. É ela a responsável por colocar o S no HTTPS e o cadeado na barra de endereços, por exemplo, conforme explicou o NakedSecurity. Yahoo!, Flickr, StackOverflow, XDA-Developers, Imgur, WeTransfer e Steam Community, além da própria Lastpass, são alguns dos sites e serviços protegidos pelo software e que acabaram afetados por essa nova vulnerabilidade – você pode conferir uma lista, ainda que desatualizada, neste link.

De acordo com um comunicado da organização OpenSSL Project, a edição 1.0.1g da biblioteca corrige o bug, e o mesmo deve acontecer com a ainda não lançada 1.0.2-beta2. A quem não conseguir fazer o update de imediato, é recomendável ao menos recompilar o software com o comando “–DOPENSSL_NO_HEARTBEATS”, para desativar a funcionalidade problemática.

Vale mencionar que empresas como Apple e Microsoft, além de bancos e redes de e-commerce, deixam o OpenSSL e usam suas próprias ferramentas de segurança, o que significa que não devem ter sido afetadas pela brecha. O Google, por sua vez, foi quem descobriu o bug, e já deve ter corrigido o problema antes mesmo de ele chegar ao público.

Leia mais a respeito: