ձëг

Ir direto para menu de acessibilidade.

Opções de acessibilidade

Você está aqui: Página inicial
Início do conteúdo da página

[Alerta ETIR/IFSP #7] Alerta de Segurança da Informação - Biblioteca OpenSSL

Publicado: Quinta, 10 de Novembro de 2022, 07h27 | Última atualização em Quinta, 10 de Novembro de 2022, 07h27 | Acessos: 20389

A Equipe de Tratamento e Respostas a Incidentes em Redes de Computadores - ETIR / IFSP, através de suas ações contínuas de prevenção de ameaças à segurança da informação institucional e respostas a incidentes, alerta que:

Uma vulnerabilidade "Crítica" foi descoberta nas versões mais recentes do OpenSSL, especificamente nas versões OpenSSLv3.0.0 a v3.0.6. Esta foi a informação de um comunicado oficial emitido pelos mantenedores do projeto OpenSSL, na última quarta-feira, dia 26/10.

O comunicado continua, alertando a todos que possuam a biblioteca OpenSSL nessas versões, instaladas em seus serviços, servidores ou instalada por softwares de terceiros, que um patch para esta vulnerabilidade crítica será lançado, terça-feira, 1º de novembro, entre as 10h e 14h, no horário de Brasília.

Após a aplicação da atualização, a biblioteca OpenSSL deverá passar para a versão OpenSSLv3.0.7, que é a versão considerada segura pelos mantenedores.

O OpenSSL é uma biblioteca de software amplamente utilizada para permitir conexões de rede seguras (Transport Layer Security (TLS)) no Linux, Unix, Windows e muitos outros sistemas operacionais, com algumas exceções no MacOS (usa por padrão a LibreSSL).

Por exemplo, se você estiver usando HTTPS para navegar em sites, é provável que esteja usando OpenSSL em uma de suas vertentes.

Segue o alerta do projeto (traduzido), com algumas informações adicionais sobre a vulnerabilidade:

"A falha tem nível de gravidade "CRÍTICO", afeta configurações comuns e que podem permitir explorações. Os exemplos das explorações incluem a divulgação do conteúdo da memória do servidor (possivelmente revelando detalhes do usuário), explorações remotas para comprometer as chaves privadas do servidor e ainda, em algumas situações, a provável execução remota de código. Detalhes sobre esta falha que possam levar a criação de exploradores serão mantidos privados e darão origem a uma nova versão. Tentaremos resolver isso o mais rápido possível."

Para reforçar a importância deste alerta, podemos verificar o histórico de alertas do projeto OpenSSL, observando que o último alerta crítico foi emitido pelos mantenedores em 2014, quando a falha "HeartBleed" foi descoberta.

A ETIR/IFSP recomenda fortemente a identificação de hosts vulneráveis:

Para verificação da versão da biblioteca OpenSSL padrão nos serviços, pode-se executar o comando "openssl version" no terminal do host, e a versão da biblioteca será retornada.

Atenção aos softwares de terceiros que utilizem biblioteca própria em versões diferentes da padrão do S.O..

Mediante a identificação positiva de hosts vulneráveis, que se consulte os procedimentos de atualizações nas releases dos Sistema Operacionais de referência, dos serviços e também do próprio projeto OpenSSL ().

Em casos de softwares de terceiro, recomendamos consulta à documentação do desenvolvedor.

ڱêԳ:

Agradecemos pela atenção e contribuição para a melhoria contínua da segurança da informação institucional.

Att.

Equipe de Tratamento e Respostas a Incidentes em Redes de Computadores - ETIR / IFSP
Coordenadoria de Operações e Arquitetura de T.I. (CAOTI-DTI)
Instituto Federal de Educação, Ciência e Tecnologia de São Paulo - IFSP
registrado em: ,,
Fim do conteúdo da página