PplWare Mobile

Falha grave no OpenSSL deixa milhões de sites vulneráveis

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. M says:

    Dou os parabéns. Este bug foi publicado ontem e já escreveram um artigo sobre isso.
    Faço apenas uma correção. Escreveram que a versão 1.0.1g está vunerável. Mas no site do heartbleed encontra-se esta informação:

    What versions of the OpenSSL are affected?

    Status of different versions:

    OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
    OpenSSL 1.0.1g is NOT vulnerable
    OpenSSL 1.0.0 branch is NOT vulnerable
    OpenSSL 0.9.8 branch is NOT vulnerable

  2. dreadster says:

    Ui lá se vai as chaves privadas das assinaturas das facturas a enviar para as finanças 😀

  3. Miguel says:

    O ppl descontrai, eu já uso a OpenSSL 1.0.2 desde fevereiro nos meus sites.

  4. Aybara says:

    Tenho uns servers rhel ainda com a 0.9.8 e pelos vistos nao esta vulneravel… ufa.

  5. Carlos says:

    Ops.
    Parece que abriu a época de caça aos bugs de enorme impacto no open source…

  6. Carlos says:

    E mais um bug em código aberto que obviamente ninguém se preocupou em alguma vez validar.

    Até se percebe, não é que se esteja a falar de código altamente sensível e onde erros tenham consequências potencialmente desastrosas por isso é perfeitamente razoável que um erro no código que permite aceder às chaves privadas dos servidores de forma indetetável e aceder a todas as comunicações encriptadas tenha existido durante 2 anos e meio, pelo menos.

    E não estamos a falar só de servidores web, o que não falta por aí são aplicações dos mais variados tipos que usam o OpenSSL e que estão vulneráveis.

    Se calhar era altura do pessoal do open source começar a olhar para coisas como esta http://blogs.msdn.com/b/sdl/archive/2009/05/14/please-join-me-in-welcoming-memcpy-to-the-sdl-rogues-gallery.aspx, reparem na data, 14 de maio de 2009, e começar a fazer o mesmo, banir do código funções intrinsecamente inseguras como o memcpy em vez de simplesmente dizer “Pfff! Microsoft! BSOD! LOL!!!”.

    Porque só um idiota é que não aprende com os erros dos outros.

    • TuxPT says:

      Como diz no proprio artigo que citaste, não é por “banires” uma função que vais corrigir o problema. Continuas a conseguir usa-la da maneira errada. Ainda assim, o memcpy não é das piores, as str*() e *gets() são bem piores e muitas delas já vem com grandes warnings nos manuais.

  7. Luis Gomes says:

    para quem precisar de actualizar esta aqui um pequeno script que trata do assunto

    #!/bin/sh
    wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
    sleep 1
    tar zxvf openssl-1.0.1g.tar.gz
    cd openssl-1.0.1g
    sleep 1
    ./config –prefix=/usr –openssldir=/usr/local/openssl shared
    sleep 1
    make
    sleep 1
    make test
    sleep 1
    make install

    • Pedro Dias says:

      Olá Luis Gomes, boa tarde.

      Esse script mencionado acima também serve para atualização Ubuntu server 12.04LTS?

      Depois de executar o script precisa fazer algo mais?
      Desculpe a pergunta mas é que sou extremamente leigo no assunto.

      Obrigado.

      • Luis Gomes says:

        Boa tarde,

        Sim, em principio correrá sem problemas uma vez que o script complia o codigo apartir do codigo fonte… ou seja nao depende de uma plataforma especifica (redhat, debian etc.)

        os unicos problemas que podera encontrar e a nivel de dependencias aquando da compilaçao, mas se tiver algum erro coloque aqui que eu dou lhe uma ajuda

  8. Luis Gomes says:

    apos executar o script e instalar so tem que correr o seguinte comando para verificar se o openssl ficou actualizado:
    openssl version

    desculpe qualquer erro visto eu estar a utilizar o telemovel

  9. Pedro Tarrinho says:

    No Ubuntu 13.10

    sudo apt-get dist-upgrade

    Em principio não precisam de fazer reboot, pois é feito um restart ao Apache.

    Nota: Devem fazer o seguinte, pois podem ter sido atacados:
    – trocar as vossas passwords;
    – trocar os certificados;
    – verificar se não têm portas abertas (que não sejam precisas)
    – programas em execução que não conhecem;

    Por fim, apesar de haver algumas questões se empresas externas podem fazer o teste do Heartbleed, podem testar aqui:
    https://www.ssllabs.com/ssltest/

  10. Luis Gomes says:

    o ubuntu 13 ja lancou o update no repositorio?

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.