[GTER] Vulnerabilidade ao Heartbleed
Raimundo Santos
raitech at gmail.com
Thu Apr 24 14:29:26 -03 2014
Boa tarde!
Me corrijam os colegas caso eu esteja enganado, mas o problema com a
funcionalidade de heartbeat, que da origem ao heartbleed, só existe nas
versões mais novas do OpenSSL. Versões mais novas >= 1.x.x.
Mas mesmo que eu esteja errado (estou lotado de coisa aqui, não vou
conseguir procurar ref. pra minha afirmação, desculpem!), acho que é bem
complicado saber exatamente qual versão de OpenSSL cada produto usa,
dependendo exclusivamente do fabricante para dar tal informação.
Nesse quesito, open source sai na frente: temos como saber o que de fato
usaram e trocar, se necessário.
[]s
Raimundo Santos
2014-04-23 22:01 GMT-03:00 Claudio Junior <csjunior at gmail.com>:
> Ola pessoal
>
> gostaria de saber o quanto os roteadores atuais estão vulneráveis ao
> Heartbleed.
>
> Estou fazendo um trabalho grande de atualização de sistemas operacionais
> que possuam a libssl e também identificando outros servidores e roteadores
> que possam comprometer a segurança dos ambientes que administro.
>
> Um exemplo é alguns roteadores mikrotik. Apos uma investigação rápida no
> google, encontrei a seguinte url informando que o mikrotik não é
> vulnerável. O principal motivo é que a libssl utilizada é antiga ;-)
>
> http://forum.mikrotik.com/viewtopic.php?f=2&t=83815
>
> A oracle lançou um boletim sobre esta vulnerabilidade, e também uma seria
> de patchs para os diversos produtos.
>
> http://www.oracle.com/us/dm/299782-wwmk10067711mpp001-oem-2191872.html
>
> Recomendo ao pessoal responder este thread com as experiencias deles para
> termos isto identificado e documentado aqui, e que também sirva de alerta.
>
> Att.
>
> --
> Claudio da Silva Junior
> csjunior at gmail.com
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list