[GTER] Vulnerabilidade ao Heartbleed
Rafael Possamai
rafael at gav.ufsc.br
Thu Apr 24 23:01:43 -03 2014
Deem uma olhada no LibreSSL: www.libressl.org
2014-04-24 17:15 GMT-05:00 Ricardo Rodrigues <rcr.listas at ig.com.br>:
> Eu penso na direção contrária. Se você usa um produto comercial com
> contrato de suporte ativo, o fabricamente tem a obrigação de te informar se
> o software usa OpenSSL e, em caso afirmativo, em que condição o software
> estaria vulnerável. E mais: em caso de problemas, você sabe a quem
> recorrer.
>
> No caso de open source, você fica dependendo da boa vontade dos
> responsáveis pelo desenvolvimento. A maioria vai ter dar a informação, mas
> esta "incerteza sobre quem vai te ajudar no momento de crise" é um dos
> fatores na hora de decidir usar open source ou não.
>
> Para deixar claro, não tenho nada contra open source. É como Windows x
> Linux. Dependendo da situação, um é mais apropriado que o outro.
>
> Abs,
> Ricardo
>
>
>
> Em 24 de abril de 2014 14:29, Raimundo Santos <raitech at gmail.com>
> escreveu:
>
> > Boa tarde!
> >
> > Me corrijam os colegas caso eu esteja enganado, mas o problema com a
> > funcionalidade de heartbeat, que da origem ao heartbleed, só existe nas
> > versões mais novas do OpenSSL. Versões mais novas >= 1.x.x.
> >
> > Mas mesmo que eu esteja errado (estou lotado de coisa aqui, não vou
> > conseguir procurar ref. pra minha afirmação, desculpem!), acho que é bem
> > complicado saber exatamente qual versão de OpenSSL cada produto usa,
> > dependendo exclusivamente do fabricante para dar tal informação.
> >
> > Nesse quesito, open source sai na frente: temos como saber o que de fato
> > usaram e trocar, se necessário.
> >
> > []s
> > Raimundo Santos
> >
> >
> >
> > 2014-04-23 22:01 GMT-03:00 Claudio Junior <csjunior at gmail.com>:
> >
> > > Ola pessoal
> > >
> > > gostaria de saber o quanto os roteadores atuais estão vulneráveis ao
> > > Heartbleed.
> > >
> > > Estou fazendo um trabalho grande de atualização de sistemas
> operacionais
> > > que possuam a libssl e também identificando outros servidores e
> > roteadores
> > > que possam comprometer a segurança dos ambientes que administro.
> > >
> > > Um exemplo é alguns roteadores mikrotik. Apos uma investigação rápida
> no
> > > google, encontrei a seguinte url informando que o mikrotik não é
> > > vulnerável. O principal motivo é que a libssl utilizada é antiga ;-)
> > >
> > > http://forum.mikrotik.com/viewtopic.php?f=2&t=83815
> > >
> > > A oracle lançou um boletim sobre esta vulnerabilidade, e também uma
> seria
> > > de patchs para os diversos produtos.
> > >
> > > http://www.oracle.com/us/dm/299782-wwmk10067711mpp001-oem-2191872.html
> > >
> > > Recomendo ao pessoal responder este thread com as experiencias deles
> para
> > > termos isto identificado e documentado aqui, e que também sirva de
> > alerta.
> > >
> > > Att.
> > >
> > > --
> > > Claudio da Silva Junior
> > > csjunior at gmail.com
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list