A OpenSSL Software Foundation lançou uma atualização para a biblioteca de criptografia OpenSSL que corrige uma vulnerabilidade classificada como alta gravidade. Essa falha pode permitir que um invasor remoto cause uma condição de negação de serviço (DoS).
OpenSSL lançou a versão 1.1.0e, com a atualização que corrige falhas encontradas no OpenSSL 1.1.0, de acordo com o OpenSSL Security Advisory divulgado na semana passada. A United States Computer Emergency Response Team também alertou os administradores de sistema quanto ao problema na semana passada.
De acordo com a OpenSSL, a vulnerabilidade ocorre em um procedimento de renegociação durante o handshake. “Se a extensão Encrypt-Then-Mac é negociada onde não estava no handshake original (ou vice-versa), isso pode fazer com que o OpenSSL falhe (dependendo do ciphersuite). Ambos os clientes e servidores são afetados”, de acordo com a assessoria.
OpenSSL está presente em dezenas de milhares de projetos de softwares comerciais e pessoais. O projeto open source fornece um conjunto de ferramentas robusto, nível comercial e completo para os protocolos TLS (Transport Layer Security) e Secure Sockets Layer (SSL). A tecnologia é creditada para manter as comunicações seguras entre pontos finais, garantindo a identidade de ambas as partes.
De acordo com a OpenSSL, o problema não afeta a versão 1.0.2 do OpenSSL. No entanto, versões adicionais do OpenSSL, como as versões 1.0.0 e 0.9.8, que não são mais compatíveis, também precisarão de atualizações. O bug, CVE-2017-3733, foi relatado por Joe Orton, da Red Hat, em 31 de janeiro. A correção foi desenvolvida por Matt Caswell, da equipe da OpenSSL.
As implementações do OpenSSL continuam a ser atormentadas pela vulnerabilidade Heartbleed. A falha persiste até hoje e pode ser encontrada em quase 200.000 servidores e dispositivos, de acordo com um relatório recente do Shodan, que é um serviço de busca que permite encontrar computadores e dispositivos conectados à rede.
No início deste mês, os usuários do Ubuntu foram orientados a atualizar seu sistema operacional para tratar de uma série de vulnerabilidades do OpenSSL (CVE-2016-7056 e CVE-2016-7055) e que afetam o Ubuntu e seus derivados.
O toolkit OpenSSL é licenciado sob uma licença do tipo Apache e tem o apoio financeiro de empresas como a Fundação Linux, Microsoft, Facebook, Amazon, Dell e Google.
Publicado originalmente no ThreatPost em 21 de fevereiro de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza