RNP > Serviços > Segurança em redes > Alertas do CAIS

CERT Advisory CA-2002-23

Múltiplas vulnerabilidades no OpenSSL

[CERT/CC, 30.07.2002, revisão 01]

O CAIS está repassando o alerta divulgado pelo CERT/CC, CERT Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL, tratando de quatro vulnerabilidades que podem ser exploradas remotamente por um atacante levando a uma indiponibilização do serviço (DoS) ou mesmo à execução de código arbitrário.

O OpenSSL é uma implementação de código aberto, largamente utilizada, dos protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), além de ser utilizada como biblioteca criptográfica. Os protocolos SSL e TSL são usados para prover conexão segura entre o cliente e servidor em protocolos de alto nível, como o HTTP.

Sistemas afetados:

OpenSSL anteriores a 0.9.6e, incluindo o pre-release 0.9.7-beta2

OpenSSL pre-release 0.9.7-beta2 e anteriores com a opção Kerberos habilitada

SSLeay library

Correções disponíveis:

Para corrigir o problema, deve-se atualizar a versão do OpenSSL para 0.9.6e.

http://www.openssl.org/source/

Os sites que utilizam OpenSSL pre-release versão 0.9.7-beta2 podem realizar a atualização para a versão 0.9.7-beta3.

http://www.openssl.org/source/

Após aplicar as correções ou realizar a atualização para a versão 0.9.6e, deve-se recompilar todas as aplicações que utilizam o OpenSSL para prover suporte a serviços SSL ou TLS e reinicializar serviços e/ou sistemas.

O Apêndice A do alerta em anexo, contém informações específicas de vários fabricantes, com relação a este problema.

Maiores informações:

http://www.cert.org/advisories/CA-2002-23.html

http://www.openssl.org/news/secadv_20020730.txt

Identificadores do CVE:

CAN-2002-0656, CAN-2002-0657,

CAN-2002-0655, CAN-2002-0659 (http://cve.mitre.org)

O CAIS recomenda aos administradores que atualizem seus sistemas com urgencia.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais