[GTER] Vulnerabilidade ao Heartbleed

Leonardo da Silva Fiuza Pina leonardo.pina at lbr.com.br
Fri Apr 25 09:20:04 -03 2014 

Ricardo,

Essa é a diferença entre Red Hat e CentOS, por exemplo; a Red Hat cobra 
por um suporte técnico que deve nada a Microsoft.

Open source não significa estar entregue a comunidade em caso de 
necessidade de suporte técnico. O software open source é da comunidade; 
a comunidade presta suporte técnico a ela mesma.

Mesmo assim, estar entregue a comunidade não significa problema. Por 
exemplo, a comunidade do Ubuntu presta um suporte técnico suficiente. Já 
resolvi muitos problemas no Ubuntu com a comunidade. Se for insuficiente 
ou não te inspirar confiança e segurança, existe o suporte técnico pago 
do Ubuntu, mesma coisa que o da Red Hat e Microsoft.

Também acredito que a melhor solução de Tecnologia da Informação é 
heterogênea:

    Estações de trabalho Apple Mac OS, Linux e Microsoft Windows,
    dependendo do software a ser executado e das atividades a serem
    desempenhadas;
    Servidores Linux, IBM z/OS ou Unix.

Mainframe? Sim, o IBM z/OS também é excelente solução de TI desde que a 
empresa precise da capacidade transacional do mainframe.

Cordial cumprimento.

On 04/24/2014 19:15, Ricardo Rodrigues wrote:
> Eu penso na direção contrária. Se você usa um produto comercial com
> contrato de suporte ativo, o fabricamente tem a obrigação de te informar se
> o software usa OpenSSL e, em caso afirmativo, em que condição o software
> estaria vulnerável. E mais: em caso de problemas, você sabe a quem recorrer.
>
> No caso de open source, você fica dependendo da boa vontade dos
> responsáveis pelo desenvolvimento. A maioria vai ter dar a informação, mas
> esta "incerteza sobre quem vai te ajudar no momento de crise" é um dos
> fatores na hora de decidir usar open source ou não.
>
> Para deixar claro, não tenho nada contra open source. É como Windows x
> Linux. Dependendo da situação, um é mais apropriado que o outro.
>
> Abs,
> Ricardo
>
>
>
> Em 24 de abril de 2014 14:29, Raimundo Santos <raitech at gmail.com> escreveu:
>
>> Boa tarde!
>>
>> Me corrijam os colegas caso eu esteja enganado, mas o problema com a
>> funcionalidade de heartbeat, que da origem ao heartbleed, só existe nas
>> versões mais novas do OpenSSL. Versões mais novas >= 1.x.x.
>>
>> Mas mesmo que eu esteja errado (estou lotado de coisa aqui, não vou
>> conseguir procurar ref. pra minha afirmação, desculpem!), acho que é bem
>> complicado saber exatamente qual versão de OpenSSL cada produto usa,
>> dependendo exclusivamente do fabricante para dar tal informação.
>>
>> Nesse quesito, open source sai na frente: temos como saber o que de fato
>> usaram e trocar, se necessário.
>>
>> []s
>> Raimundo Santos
>>
>>
>>
>> 2014-04-23 22:01 GMT-03:00 Claudio Junior <csjunior at gmail.com>:
>>
>>> Ola pessoal
>>>
>>> gostaria de saber o quanto os roteadores atuais estão vulneráveis ao
>>> Heartbleed.
>>>
>>> Estou fazendo um trabalho grande de atualização de sistemas operacionais
>>> que possuam a libssl e também identificando outros servidores e
>> roteadores
>>> que possam comprometer a segurança dos ambientes que administro.
>>>
>>> Um exemplo é alguns roteadores mikrotik. Apos uma investigação rápida no
>>> google, encontrei a seguinte url informando que o mikrotik não é
>>> vulnerável. O principal motivo é que a libssl utilizada é antiga ;-)
>>>
>>> http://forum.mikrotik.com/viewtopic.php?f=2&t=83815
>>>
>>> A oracle lançou um boletim sobre esta vulnerabilidade, e também uma seria
>>> de patchs para os diversos produtos.
>>>
>>> http://www.oracle.com/us/dm/299782-wwmk10067711mpp001-oem-2191872.html
>>>
>>> Recomendo ao pessoal responder este thread com as experiencias deles para
>>> termos isto identificado e documentado aqui, e que também sirva de
>> alerta.
>>> Att.
>>>
>>> --
>>> Claudio da Silva Junior
>>> csjunior at gmail.com
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> !DSPAM:82,5359c098202272382454271!
>
>

-- 


---
This email is free from viruses and malware because avast! Antivirus protection is active.
http://www.avast.com

More information about the gter mailing list