Novas falhas no OpenSSL, está na hora de atualizar!

Novas falhas no OpenSSL, está na hora de atualizar!

Desde o fenômeno Heartbleed, a massiva vulnerabilidade no OpenSSL que expôs milhões de servidores no mundo todo, muito mais atenção tem sido dirigida para possíveis falhas/vulnerabilidades nesse software gratuito que criptografa comunicações. Não se esperava que com toda a repercussão mundial e com os avisos publicados que um mês depois da divulgação ainda existissem mais

Desde o fenômeno Heartbleed, a massiva vulnerabilidade no OpenSSL que expôs milhões de servidores no mundo todo, muito mais atenção tem sido dirigida para possíveis falhas/vulnerabilidades nesse software gratuito que criptografa comunicações. Não se esperava que com toda a repercussão mundial e com os avisos publicados que um mês depois da divulgação ainda existissem mais

7-623x425

Desde o fenômeno Heartbleed, a massiva vulnerabilidade no OpenSSL que expôs milhões de servidores no mundo todo, muito mais atenção tem sido dirigida para possíveis falhas/vulnerabilidades nesse software gratuito que criptografa comunicações.

Não se esperava que com toda a repercussão mundial e com os avisos publicados que um mês depois da divulgação ainda existissem mais de 300 mil servidores vulneráveis à mesma.

Dois meses depois do Heartbleed, a OpenSSL publicou patches para outras vulnerabilidades encontradas; nenhuma tão grave como a anterior, porém algumas com mais de uma década de existência e outras potencialmente graves. Uma vez mais, é hora de atualizar o software. A seguir detalhamos as 5 falhas mais importantes:

Na existência de um servidor e um cliente vulneráveis, um atacante poderia explorar esta vulnerabilidade forçando ambos a utilizarem chaves pouco seguras durante o handshake (quando conexões criptografadas são estabelecidas), o que o permitiria descriptografar e comprometer o tráfego entre ambas partes.

Ao enviar um handshake inválido do tipo DTLS a um cliente OpenSSL DTLS, o código pode ser programado para provocar uma negação de serviço. Aplicativos que utilizam o OpenSSL como cliente DTLS são as únicas afetadas por essa falha.

  • CVE-2014-0195: Vulnerabilidade por fragmento DTLS inválido

Ao enviar fragmentos DTLS inválidos a um cliente ou um servidor OpenSSL, é possível causar um ataque de transbordamento de dados. Sería possível explorar este transbordamento para executar códigos arbitrarios

  • CVE-2014-0198 y CVE-2010-5298: Falhas na função ssl3_read_bytes e do_ssl3_write (funções encontradas no processo de handshake)

Nos poucos casos em que os SSL_MODE_RELEASE_BUFFERS estão habilitados, é possível causar negação de serviços se a variável apontada por um ponteiro em uma operação de desreferência é nula. Nessas condições (que não vem habilitadas por padrão e são pouco comuns), também seria possível para um atacante a injeção de dados remotamente devido a condição de corrida causada pela função ssl3_read_bytes.

  • CVE-2014-3470: Negação de serviço através do ECDH (Protocolo de estabelecimento de chaves de criptografia públicas)

Os clientes OpenSSL TLS que têm ciphersuites ECDH habilitadas poderiam correr o risco de um ataque de negação de serviços.

Mais detalhes sobre as vulnerabilidades no OpenSSL estão disponíveis no site da organização.

É importante destacar que não todas as versões são vulneráveis a todas as falhas e que, seja qual for a versão utilizada, patches e atualizações são constantemente disponibilizadas e devem ser instaladas o quanto antes.

Imagem: ©morberg/Flickr

Autor Ilya Lopes, ESET

Discussão