Falha critica no OpenSSL - Hackers conseguem descriptografar trafego HTTPS

09:42 Leandro Narezi Tonello 0 Comentarios



O OpenSSL é uma biblioteca open-source, utilizada em aplicações no mundo todo, para a realização de transferências de informações. A maioria dos websites utiliza o OpenSSL para a habilitação dos serviços de encriptação SSL (Secure Sockets Layer) e TLS (Transport Layer Socket).

Porém, após uma série de vulnerabilidades encontradas no OpenSSL em 2015, que permitiam por exemplo ataques man-in-the-middle, ataque esse que possibilita ao hacker descriptografar tráfego criptografado, fez com que a biblioteca do OpenSSL ficasse sob constante verificação por parte de pesquisadores da área de segurança.

Estes últimos bugs afetavam as versões 1.0.1 e 1.0.2, que tiveram patchs de correção para ambas as distribuições OpenSSL, versões 1.0.1r  e 1.0.2f

O time de desenvolvimento do OpenSSL Foundation criou estes patches para mitigar duas vulnerabilidades diferentes. O bug com o maior índice de periculosidade, identificado como CVE-2016-0701, compete a problemas na implementação do D-H (Diffie–Hellman key Exchange). O D-H é um algoritmo de criptografia responsável pela troca de chaves presente na versão 1.0.2 do OpenSSL.

Realize o upgrade agora!
Se você está utilizando a versão de OpenSSL 1.0.2, está na hora de realizar o upgrade para a versão 1.0.2f. Enquanto aqueles que ainda utilizam a versão 1.0.1 do OpenSSL, você deve fazer o upgrade para versão 1.0.1r

Entre outras recomendações, os consultores do OpenSSL avisaram que os novos patches podem comprometer o desempenho. A equipe do OpenSSL também lembra aos usuários que à  versão 1.0.1 do OpenSSL deixara de receber suporte no final deste ano, após o qual não haverão mais atualizações de segurança disponíveis.

Referências:
https://www.openssl.org/news/vulnerabilities.html#y2016
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701
http://thehackernews.com/2016/01/openssl-https-encryption.html

0 comentários: