Vídeo: Configurando SSL/TLS Apache2 Ubuntu (Outubro 2024)
Existe uma nova versão do OpenSSL e, sim, as versões anteriores do pacote de segurança tinham algumas vulnerabilidades sérias. No entanto, essas falhas encontradas são boas; não estamos olhando para um desastre de proporções Heartbleed.
À primeira vista, o comunicado do OpenSSL, que lista todas as sete vulnerabilidades que foram corrigidas no OpenSSL, parece ser uma lista assustadora. Uma das falhas, se explorada, pode permitir que um invasor veja e modifique o tráfego entre um cliente OpenSSL e o servidor OpenSSL em um ataque man-in-the-middle. O problema está presente em todas as versões do cliente do OpenSSL e do servidor 1.0.1 ou 1.0.2-beta1. Para que o ataque seja bem-sucedido - e é bastante complicado, para começar - versões vulneráveis do cliente e do servidor precisam estar presentes.
Embora a extensão do problema seja muito limitada, talvez você esteja preocupado em continuar usando o software com o OpenSSL incluído. Primeiro, Heartbleed. Agora, ataques man-in-the-middle. Focar no fato de que o OpenSSL possui bugs (o que o software não possui?) Perde um ponto muito crítico: eles estão sendo corrigidos.
Mais olhos, mais segurança
O fato de os desenvolvedores estarem divulgando esses bugs - e corrigindo-os - é reconfortante, porque significa que temos mais olhos no código-fonte do OpenSSL. Mais pessoas estão examinando cada linha em busca de possíveis vulnerabilidades. Após a divulgação do bug do Heartbleed, no início deste ano, muitas pessoas ficaram surpresas ao descobrir que o projeto não tinha muito financiamento ou muitos desenvolvedores dedicados, apesar de seu uso generalizado.
"Ele [OpenSSL] merece a atenção da comunidade de segurança que está recebendo agora", disse Wim Remes, consultor administrativo da IOActive.
Um consórcio de gigantes da tecnologia, incluindo Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel e Cisco, uniu-se à Linux Foundation para formar a Core Infrastructure Initiative (CII). A CII financia projetos de código aberto para adicionar desenvolvedores em período integral, realizar auditorias de segurança e melhorar a infraestrutura de testes. O OpenSSL foi o primeiro projeto financiado pelo CII; Network Time Protocol e OpenSSH também estão sendo suportados.
"A comunidade enfrentou o desafio de garantir que o OpenSSL se torne um produto melhor e que os problemas sejam encontrados e corrigidos rapidamente", disse Steve Pate, arquiteto-chefe da HyTrust.
Você deve se preocupar?
Se você é um administrador do sistema, você deve atualizar o OpenSSL. Mais bugs serão encontrados e corrigidos; portanto, os administradores devem ficar atentos às correções para manter o software atualizado.
Para a maioria dos consumidores, não há muito com que se preocupar. Para explorar o bug, o OpenSSL precisa estar presente nos dois extremos da comunicação, e isso normalmente não acontece na navegação na Web, disse Ivan Ristic, diretor de engenharia da Qualys. Os navegadores de área de trabalho não dependem do OpenSSL e, mesmo que o navegador da Web em dispositivos Android e o Chrome for Android usem o OpenSSL. "As condições necessárias para a exploração são um pouco mais difíceis de encontrar", disse Ristic. O fato de a exploração exigir o posicionamento do homem do meio é "limitador", disse ele.
O OpenSSL é frequentemente usado em utilitários de linha de comando e para acesso programático; portanto, os usuários precisam atualizar imediatamente. E qualquer aplicativo de software que eles utilizem o OpenSSL deve ser atualizado assim que novas versões estiverem disponíveis.
Atualize o software e "prepare-se para atualizações frequentes no futuro do OpenSSL, já que esses não são os últimos erros encontrados neste pacote de software", alertou Wolfgang Kandek, CTO da Qualys.
