[GTER] Vulnerabilidade ao Heartbleed

Jacques de Beijer jacques.beijer at unimedbelem.com.br
Thu Apr 24 15:43:34 -03 2014


Por se tratar de um biblioteca, você pode consultar a que o seu SO está utilizando no momento. 


----- Mensagem original -----

De: "Raimundo Santos" <raitech at gmail.com> 
Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br> 
Enviadas: Quinta-feira, 24 de abril de 2014 14:29:26 
Assunto: Re: [GTER] Vulnerabilidade ao Heartbleed 

Boa tarde! 

Me corrijam os colegas caso eu esteja enganado, mas o problema com a 
funcionalidade de heartbeat, que da origem ao heartbleed, só existe nas 
versões mais novas do OpenSSL. Versões mais novas >= 1.x.x. 

Mas mesmo que eu esteja errado (estou lotado de coisa aqui, não vou 
conseguir procurar ref. pra minha afirmação, desculpem!), acho que é bem 
complicado saber exatamente qual versão de OpenSSL cada produto usa, 
dependendo exclusivamente do fabricante para dar tal informação. 

Nesse quesito, open source sai na frente: temos como saber o que de fato 
usaram e trocar, se necessário. 

[]s 
Raimundo Santos 



2014-04-23 22:01 GMT-03:00 Claudio Junior <csjunior at gmail.com>: 

> Ola pessoal 
> 
> gostaria de saber o quanto os roteadores atuais estão vulneráveis ao 
> Heartbleed. 
> 
> Estou fazendo um trabalho grande de atualização de sistemas operacionais 
> que possuam a libssl e também identificando outros servidores e roteadores 
> que possam comprometer a segurança dos ambientes que administro. 
> 
> Um exemplo é alguns roteadores mikrotik. Apos uma investigação rápida no 
> google, encontrei a seguinte url informando que o mikrotik não é 
> vulnerável. O principal motivo é que a libssl utilizada é antiga ;-) 
> 
> http://forum.mikrotik.com/viewtopic.php?f=2&t=83815 
> 
> A oracle lançou um boletim sobre esta vulnerabilidade, e também uma seria 
> de patchs para os diversos produtos. 
> 
> http://www.oracle.com/us/dm/299782-wwmk10067711mpp001-oem-2191872.html 
> 
> Recomendo ao pessoal responder este thread com as experiencias deles para 
> termos isto identificado e documentado aqui, e que também sirva de alerta. 
> 
> Att. 
> 
> -- 
> Claudio da Silva Junior 
> csjunior at gmail.com 
> -- 
> gter list https://eng.registro.br/mailman/listinfo/gter 
-- 
gter list https://eng.registro.br/mailman/listinfo/gter 




More information about the gter mailing list