Sites que utilizam OpenSSL podem estar com a criptografia corrompida
A Site Blindado S/A comunica que foi identificada uma vulnerabilidade afetando todos os sites que utilizam Open SSL, biblioteca utilizada para emitir e implementar certificados nos servidores. A vulnerabilidade é chamada Heartbleed, e pode significar criptografia corrompida.
Quem está vulnerável?
Os principais servidores usando OpenSSL rodam em Apache e nginx, que são utilizados por 66{c4ed89b24512c12669a9ce013188fd91944b738a09daf7eed2015eacd40ed6a4} dos sites da Internet. Ainda existem muitos servidores de e-mail, chat e VPNs que podem estar vulneráveis.
Portanto, essa é uma estimativa conservadora da porcentagem de serviços vulneráveis. (Essa falha afeta certificados emitidos por todas as Autoridades Certificadoras)
Quais versões do OpenSSL (não) estão vulneráveis?
- As versões 1.0.1 até 1.0.1f (inclusive) ESTÃO vulneráveis
- Já as versões 1.0.1g, 1.0.0 branch & 0.9.8 branch NÃO estão vulneráveis
O que a vulnerabilidade permite:
Essa falha permite que as informações (supostamente protegidas e criptografadas) sejam visualizadas por terceiros. O Heartbleed compromete a secret key (que é utilizada para criptografar os dados), os nomes e senhas de usuários e o conteúdo que está sendo transferido.
Em suma, todos os dados transferidos entre o site e o computador do visitante poderão ser interceptados e visualizados por invasores, sem deixar qualquer rastro da atividade.
Como corrigir a falha de criptografia
(Os clientes da WAF da Site Blindado já estão protegidos contra a vulnerabilidade, mas ainda assim é recomendável realizar as correções). Para servidores:
- Ubuntu-like
- Red Hat Enterprise-like
- Amazon Linux
Para mais informações, acompanhe os seguintes sites: