Falha de segurança no OpenSSL

Uma falha de segurança no OpenSSL pode ter deixado centenas de milhares de servidores em situação crítica de segurança, veja todos os detalhes aqui.

[ad#texto]

Uma falha de segurança no OpenSSL pode ter deixado centenas de milhares de servidores em situação crítica de segurança, tudo porque através da falha de segurança permite que invasores “pesquem” até 64kb de informações aleatórias dos servidores, mesmo sendo pouco o método pode ser repetido diversas vezes e até mesmo uma chave de criptografia pode ser obtida comprometendo toda a estrutura de segurança de um servidor.

Falha de segurança no OpenSSL
Falha de segurança no OpenSSL

Falando em números a biblioteca de criptografia OpenSSL é adotada aproximadamente por 2 em cada 3 servidores, resumindo, é muita coisa e levando em conta a gravidade da falha de segurança é um caso sério.

A falha de segurança foi adicionada a partir da versão 1.0.0 e atinge até a versão 1.0.2Beta do OpenSSL e consiste na adição da extensão Heartbeat o que pode sinalizar que a falha está ativa há cerca de 2 anos, mesmo não tendo sido explorada até então.

Quem descobriu foi o pesquisador Neel Mehta do Google e isso significa que os servidores do Google já estavam protegidos mesmo desde antes da divulgação da falha pelo comando “-DOPENSSL_NO_HEARTBEATS”.

Quem mais está sofrendo para corrigir a falha de segurança no OpenSSL é o Yahoo e um script de testes conseguiu obter 200 endereços de email com suas respectivas senhas explorando a falha do OpenSSL o que demonstra na prática que o caso é grave.

Para os mais alarmados empresas como Microsoft, Apple e bancos não utilizam o OpenSSL e desenvolve seus próprios métodos de criptografia, porém sistemas livres como Fedora,Ubuntu e Debian e grandes serviços Web como os do Google e Yahoo utilizam o OpenSSL e algum deles ainda podem estar sofrendo com a falha de segurança.

Petter Rafael
Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.

Assinar blog por e-mail

Digite seu endereço de e-mail para assinar este blog e receber notificações de novas publicações por e-mail.

Junte-se a 322 outros assinantes

Busca

setembro 2020
DSTQQSS
 12345
6789101112
13141516171819
20212223242526
27282930 

Categorias