RNP - Rede Nacional de Ensino e Pesquisa

english | español

 

Sobre a RNP | Parcerias | Acesso à Informação | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-Alerta: Vulnerabilidade no OpenSSL

[RNP, 10.04.2014, revisão 01]


O CAIS alerta sobre a recente vulnerabilidade presente na biblioteca OpenSSL, que é utilizada nos protocolos SSL, TLS e DTLS. A biblioteca OpenSSL é utilizada para prover comunicação segura e privacidade na internet para diversos serviços e aplicativos, tais como: sistemas de email, navegadores web, mensagens instantâneas(IM), VPNs, entre outros.

Impacto

Um usuário mal intencionado, através de pacotes manipulados, pode ser capaz de recuperar as chaves secretas utilizadas nos sistemas para cifrar informações sensíveis. Dessa forma, um atacante pode espionar as comunicações, roubar dados diretamente dos sistemas/serviços e enganar os usuários se fazendo passar por um fornecedor de serviços.

Até a divulgação deste alerta, existem relatos de exploração da vulnerabilidade no OpenSSL.

Recomendações

  • Verificar se o sistema está vulnerável

  • Até a divulgação desse alerta, existem relatos de exploração da vulnerabilidade no OpenSSL.

    Execute o comando abaixo em um sistema UNIX-LIKE ou Windows e verifique a versão instalada.

    #openssl version -a

    OBS: Para sistemas Windows, o comando acima deve conter também o diretório de instalação do OpenSSL.

    Ferramenta online para realizar o teste

    https://www.ssllabs.com/ssltest/index.html

    Ferramenta NMAP

    https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

  • Corrigir a vulnerabilidade identificada

  • Atualize o OpenSSL para a versão 1.0.1g ou a mais recente recomendada pelos desenvolvedores.

  • Desabilitar o suporte ao OpenSSL Heartbeat

  • Este problema pode ser tratado recompilando o OpenSSL com a flag -DOPENSSL_NO_HEARTBEATS.

    Aplicativos que utilizam o OpenSSL, como o Apache ou Nginx, deverão ser reiniciados para que as mudanças sejam efetivadas.

  • Utilize Perfect Forward Secrecy (PFS)

  • PFS pode ajudar a minimizar os danos em caso de vazamento de uma chave secreta fazendo com que seja mais difícil decifrar o tráfego de rede já capturado.

  • Implementar assinaturas no IDS

  • http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/


Versões afetadas

  • OpenSSL 1.0.1f
  • OpenSSL 1.0.1e
  • OpenSSL 1.0.1d
  • OpenSSL 1.0.1c
  • OpenSSL 1.0.1b
  • OpenSSL 1.0.1a
  • OpenSSL 1.0.1

Mais informações

Identificador CVE (http://cve.mitre.org):
CVE-2014-0160

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

10.04.2014

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731