[GTER] Vulnerabilidade ao Heartbleed

Claudio Junior csjunior at gmail.com
Fri Apr 25 00:31:23 -03 2014 

Senhores

Quando enviei o e-mail inicial o meu objetivo era saber a opinião do
pessoal.
A minha observação é que alguns fornecedores simplesmente não fizeram nada.
Estão aguardando pelo visto os roteadores e servidores serem invadidos.
Estou vendo que o teste principal é utilizar mecanismos para tentar obter
informações sobre o equipamento e validando se são vulneraveis ou não.

No meu entendimento faltou uma atitude como a oracle fez que foi enviar
emails informando a vulnerabilidade e propondo correções.

A mikrotik para mim não fez o certo. Nós compramos uma licença quando
compramos um roteador e eles deveriam ser mais transparentes sobre é
vulnerável ou não. Eu achei no fórum deles observações sobre isto, mas não
ví nada oficial no site deles. ISTO CABE PARA MAIS UM MONTE DE FORNECEDORES.

Baseado em opensource, Ví no site da debian, openbsd e outros sistemas
operacionais conhecidos a informação de vulnerabilidade e se devemos ou não
atualziar. Eles foram transparentes.

Fica a cargo de decidirem o que é melhor ou não. Para mim o que vale é o
que melhor me atende. Meu desktop é windows 7, mas quando tenho opção
utilizo linux. Banco de dados para mim é oracle, mas pessoalmente uso o
mariadb. Tem que ver o que melhor te atende.

E sobre opensource, comercial, etc, o segredo é respeitar o trabalho dos
outros. No pior caso para o cliente, e o melhor para vc é cobre a tua parte
para arrumar a caca dos outros.

Att.

--
Claudio da Silva Junior
csjunior at gmail.com


Em 24 de abril de 2014 19:15, Ricardo Rodrigues <rcr.listas at ig.com.br>escreveu:

> Eu penso na direção contrária. Se você usa um produto comercial com
> contrato de suporte ativo, o fabricamente tem a obrigação de te informar se
> o software usa OpenSSL e, em caso afirmativo, em que condição o software
> estaria vulnerável. E mais: em caso de problemas, você sabe a quem
> recorrer.
>
> No caso de open source, você fica dependendo da boa vontade dos
> responsáveis pelo desenvolvimento. A maioria vai ter dar a informação, mas
> esta "incerteza sobre quem vai te ajudar no momento de crise" é um dos
> fatores na hora de decidir usar open source ou não.
>
> Para deixar claro, não tenho nada contra open source. É como Windows x
> Linux. Dependendo da situação, um é mais apropriado que o outro.
>
> Abs,
> Ricardo
>
>
>
> Em 24 de abril de 2014 14:29, Raimundo Santos <raitech at gmail.com>
> escreveu:
>
> > Boa tarde!
> >
> > Me corrijam os colegas caso eu esteja enganado, mas o problema com a
> > funcionalidade de heartbeat, que da origem ao heartbleed, só existe nas
> > versões mais novas do OpenSSL. Versões mais novas >= 1.x.x.
> >
> > Mas mesmo que eu esteja errado (estou lotado de coisa aqui, não vou
> > conseguir procurar ref. pra minha afirmação, desculpem!), acho que é bem
> > complicado saber exatamente qual versão de OpenSSL cada produto usa,
> > dependendo exclusivamente do fabricante para dar tal informação.
> >
> > Nesse quesito, open source sai na frente: temos como saber o que de fato
> > usaram e trocar, se necessário.
> >
> > []s
> > Raimundo Santos
> >
> >
> >
> > 2014-04-23 22:01 GMT-03:00 Claudio Junior <csjunior at gmail.com>:
> >
> > > Ola pessoal
> > >
> > > gostaria de saber o quanto os roteadores atuais estão vulneráveis ao
> > > Heartbleed.
> > >
> > > Estou fazendo um trabalho grande de atualização de sistemas
> operacionais
> > > que possuam a libssl e também identificando outros servidores e
> > roteadores
> > > que possam comprometer a segurança dos ambientes que administro.
> > >
> > > Um exemplo é alguns roteadores mikrotik. Apos uma investigação rápida
> no
> > > google, encontrei a seguinte url informando que o mikrotik não é
> > > vulnerável. O principal motivo é que a libssl utilizada é antiga ;-)
> > >
> > > http://forum.mikrotik.com/viewtopic.php?f=2&t=83815
> > >
> > > A oracle lançou um boletim sobre esta vulnerabilidade, e também uma
> seria
> > > de patchs para os diversos produtos.
> > >
> > > http://www.oracle.com/us/dm/299782-wwmk10067711mpp001-oem-2191872.html
> > >
> > > Recomendo ao pessoal responder este thread com as experiencias deles
> para
> > > termos isto identificado e documentado aqui, e que também sirva de
> > alerta.
> > >
> > > Att.
> > >
> > > --
> > > Claudio da Silva Junior
> > > csjunior at gmail.com
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list