[Cisl-comunidade] Fw: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL
Geowany Galdino Alves
geowany em ufac.br
Sábado Abril 12 00:03:22 BRT 2014
Boa noite, Frederico!
Na primeira semana do mês passado, durante auditoria do time de segurança da Red Hat, foi descoberto um bug no GnuTLS que consiste na verificação incorreta de certificados abrindo espaço para um invasor criar um certificado especial que poderia ser aceito como válido. Segue abaixo os links:
http://www.gnutls.org/security.html#GNUTLS-SA-2014-2
http://www.debian.org/security/2014/dsa-2869
https://rhn.redhat.com/errata/RHSA-2014-0246.html
Como você mesmo falou, algumas dessas falhas passam despercebidas por anos, e essa do GnuTLS existia desde 2005. Acredito que isso é muito preocupante por envolver serviços que gerenciam informações por vezes muito sensíveis.
Atenciosamente,
--
Geowany Galdino Alves
Assistente em Tecnologia da Informação
Núcleo de Tecnologia da Informação
Universidade Federal do Acre
http://www.ufac.br
+55(68)3229-4818
----- Mensagem original -----
De: "Frederico Souza da Camara" <frederico.camara em serpro.gov.br>
Para: geowany em ufac.br, "marcos linhares" <marcos.linhares em udesc.br>
Cc: cisl-comunidade em listas.softwarelivre.org
Enviadas: Sexta-feira, 11 de abril de 2014 17:03:14
Assunto: Re: [Cisl-comunidade] Fw: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL
Oi Geowany,
Eu procurei nos Security Advisories do GnuTLS e não encontrei nada semelhante ou recentemente que tenha acontecido com o GnuTLS. Você pode ser mais específico?
Programas em C são bastante susceptíveis a erros de estouro de buffer. Se o programador não tratar isto durante a programação, estas falhas tendem a passar despercebidas por anos. O advisory aqui é importante, porque pode ter comprometido suas senhas nos servidores, e os usuários tem que trocar as senhas. Não foi o caso dos outros advisories que eu vi.
Atenciosamente,
--
Frederico Souza da Camara - frederico.camara em serpro.gov.br
CEAGO - Coordenadoria Estratégica de Ações Governamentais
Serpro - #61 2021-8341
Em 10/04/2014 17:57:22, Geowany Galdino Alves escreveu:
Muito obrigado, Marcos!
Mas o que me deixa intrigado é que algo semelhante aconteceu recentemente com o GnuTLS.
Att,
De: "MARCOS VINICIUS LINHARES" < marcos.linhares em udesc.br >
Para: "Lista CISL" < cisl-comunidade em listas.softwarelivre.org >
Enviadas: Quinta-feira, 10 de abril de 2014 13:54:25
Assunto: [Cisl-comunidade] Fw: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL
PessoALL,
Compartilhando, peço desculpas aos não interessados.
Cordialmente,
Marcos Vinicius Linhares
Analista de Sistemas - Setor de Infraestrutura de TIC - SEINFRA
Secretaria de Tecnologia de Informação e Comunicação - SETIC
Universidade do Estado de Santa Catarina - UDESC
---------- Mensagem encaminhada ----------
Remetente: forum-tic em listas.udesc.br
Data: 10/04/2014 13:34 (01:17 horas atrás)
Assunto: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL
Para: "Forum TI" < forum-tic em listas.udesc.br >
Prezados
Essa semana foi descoberta uma falha grave de segurança no OpenSSL , permitindo que atacantes pudessem obter as senhas e outros dados dos usuários:
gizmodo.com/how-heartbleed-works-the-code-behind-the-internets-se-1561341209
lifehacker.com/what-the-heartbleed-security-bug-means-for-you-1560801201
Este site lista os principais serviços afetados, se o patch já foi aplicado e se é ou não necessária a troca de senha:
mashable.com/2014/04/09/heartbleed-bug-websites-affected/
Recomenda-se que a senha seja alterada nos seguintes serviços: Facebook, Google, Yahoo, Dropbox, Tumblr dentre outros.
Caso alguém utilize algum site com SSL, é interessante testar se o mesmo precisa ser "arrumado" no seguinte link:
filippo.io/Heartbleed/
Atenciosamente
----
Fernando A. Seidler
Técnico de Informática - Setor de Infraestrutura de TIC - SEINFRA
Secretaria de Tecnologia da Informação e Comunicação - SETIC
Universidade do Estado de Santa Catarina - UDESC
_______________________________________________
Portal do CISL: www.softwarelivre.gov.br
_______________________________________________
Cisl-comunidade mailing list
Cisl-comunidade em listas.softwarelivre.org
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/cisl-comunidade
--
Geowany Galdino Alves
Assistente em Tecnologia da Informação
Núcleo de Tecnologia da Informação
Universidade Federal do Acre
http://www.ufac.br
+55(68)3229-4818
_______________________________________________
Portal do CISL: www.softwarelivre.gov.br
_______________________________________________
Cisl-comunidade mailing list
Cisl-comunidade em listas.softwarelivre.org http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/cisl-comunidade
-
"Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), empresa pública federal regida pelo disposto na Lei Federal nº 5.615, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco."
"This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) -- a government company established under Brazilian law (5.615/70) -- is directed exclusively to its addressee and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you're not the addressee, please send it back, elucidating the failure."
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.softwarelivre.org/pipermail/cisl-comunidade/attachments/20140411/9d84d5ab/attachment.html>
More information about the Cisl-comunidade
mailing list