Falha critica no OpenSSL - Hackers conseguem descriptografar trafego HTTPS
O OpenSSL é uma biblioteca open-source, utilizada em aplicações no mundo todo, para a realização de transferências de informações. A maioria dos websites utiliza o OpenSSL para a habilitação dos serviços de encriptação SSL (Secure Sockets Layer) e TLS (Transport Layer Socket).
Porém, após uma série de vulnerabilidades encontradas no OpenSSL em 2015, que permitiam por exemplo ataques man-in-the-middle, ataque esse que possibilita ao hacker descriptografar tráfego criptografado, fez com que a biblioteca do OpenSSL ficasse sob constante verificação por parte de pesquisadores da área de segurança.
Estes últimos bugs afetavam as versões 1.0.1 e 1.0.2, que tiveram patchs de correção para ambas as distribuições OpenSSL, versões 1.0.1r e 1.0.2f
O time de desenvolvimento do OpenSSL Foundation criou estes patches para mitigar duas vulnerabilidades diferentes. O bug com o maior índice de periculosidade, identificado como CVE-2016-0701, compete a problemas na implementação do D-H (Diffie–Hellman key Exchange). O D-H é um algoritmo de criptografia responsável pela troca de chaves presente na versão 1.0.2 do OpenSSL.
Realize o upgrade agora!
Se
você está utilizando a versão de OpenSSL 1.0.2, está na hora de realizar o
upgrade para a versão 1.0.2f. Enquanto aqueles que ainda utilizam
a versão 1.0.1 do OpenSSL, você deve fazer o upgrade para versão 1.0.1r
Entre outras recomendações, os consultores do OpenSSL avisaram que os novos patches podem comprometer o desempenho. A equipe do OpenSSL também lembra aos usuários que à versão 1.0.1 do OpenSSL deixara de receber suporte no final deste ano, após o qual não haverão mais atualizações de segurança disponíveis.
Referências:
https://www.openssl.org/news/vulnerabilities.html#y2016
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701
http://thehackernews.com/2016/01/openssl-https-encryption.html
Entre outras recomendações, os consultores do OpenSSL avisaram que os novos patches podem comprometer o desempenho. A equipe do OpenSSL também lembra aos usuários que à versão 1.0.1 do OpenSSL deixara de receber suporte no final deste ano, após o qual não haverão mais atualizações de segurança disponíveis.
Referências:
https://www.openssl.org/news/vulnerabilities.html#y2016
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701
http://thehackernews.com/2016/01/openssl-https-encryption.html
0 comentários: