[GTER] Vulnerabilidade ao Heartbleed

Ricardo Rodrigues rcr.listas at ig.com.br
Thu Apr 24 19:15:29 -03 2014


Eu penso na direção contrária. Se você usa um produto comercial com
contrato de suporte ativo, o fabricamente tem a obrigação de te informar se
o software usa OpenSSL e, em caso afirmativo, em que condição o software
estaria vulnerável. E mais: em caso de problemas, você sabe a quem recorrer.

No caso de open source, você fica dependendo da boa vontade dos
responsáveis pelo desenvolvimento. A maioria vai ter dar a informação, mas
esta "incerteza sobre quem vai te ajudar no momento de crise" é um dos
fatores na hora de decidir usar open source ou não.

Para deixar claro, não tenho nada contra open source. É como Windows x
Linux. Dependendo da situação, um é mais apropriado que o outro.

Abs,
Ricardo



Em 24 de abril de 2014 14:29, Raimundo Santos <raitech at gmail.com> escreveu:

> Boa tarde!
>
> Me corrijam os colegas caso eu esteja enganado, mas o problema com a
> funcionalidade de heartbeat, que da origem ao heartbleed, só existe nas
> versões mais novas do OpenSSL. Versões mais novas >= 1.x.x.
>
> Mas mesmo que eu esteja errado (estou lotado de coisa aqui, não vou
> conseguir procurar ref. pra minha afirmação, desculpem!), acho que é bem
> complicado saber exatamente qual versão de OpenSSL cada produto usa,
> dependendo exclusivamente do fabricante para dar tal informação.
>
> Nesse quesito, open source sai na frente: temos como saber o que de fato
> usaram e trocar, se necessário.
>
> []s
> Raimundo Santos
>
>
>
> 2014-04-23 22:01 GMT-03:00 Claudio Junior <csjunior at gmail.com>:
>
> > Ola pessoal
> >
> > gostaria de saber o quanto os roteadores atuais estão vulneráveis ao
> > Heartbleed.
> >
> > Estou fazendo um trabalho grande de atualização de sistemas operacionais
> > que possuam a libssl e também identificando outros servidores e
> roteadores
> > que possam comprometer a segurança dos ambientes que administro.
> >
> > Um exemplo é alguns roteadores mikrotik. Apos uma investigação rápida no
> > google, encontrei a seguinte url informando que o mikrotik não é
> > vulnerável. O principal motivo é que a libssl utilizada é antiga ;-)
> >
> > http://forum.mikrotik.com/viewtopic.php?f=2&t=83815
> >
> > A oracle lançou um boletim sobre esta vulnerabilidade, e também uma seria
> > de patchs para os diversos produtos.
> >
> > http://www.oracle.com/us/dm/299782-wwmk10067711mpp001-oem-2191872.html
> >
> > Recomendo ao pessoal responder este thread com as experiencias deles para
> > termos isto identificado e documentado aqui, e que também sirva de
> alerta.
> >
> > Att.
> >
> > --
> > Claudio da Silva Junior
> > csjunior at gmail.com
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list