Nas últimas duas semanas tivemos uma grande movimentação devido a uma brecha de segurança no OpenSSL (CVE-2014-0160), dizem que esta ai deste de 2011 e ninguém havia detectado até agora. Provavelmente você já deve ter lido diversos outros artigos tratando desta vulnerabilidade já que ela foi amplamente coberta por diversos blogs e sites de tecnologia do mundo inteiro.
A vulnerabilidade compreende as versões do OpenSSL nas versões 1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e e 1.0.1f, servidores com CentOS 5.x que utilizam apenas o repositório oficial, a principio não estão vulneráveis, por utilizar variantes da versão 0.9.8 do OpenSSL, já na versão 6.x a vulnerabilidade existe.
Para verificar se o meu ambiente estava vulnerável eu utilizei duas ferramentas, a primeira foi divulgada em tudo que é canto que é a Heartbleed test, inclusive você pode fazer o download do código no GitHub e criar um script para testar vários sites por exemplo, e a segunda faz uma analise de outros itens relacionados a SSL além da falha de Heartbleed, disponível no site da Qualys, Inc.
A comunidade CentOS já publicou uma atualização do OpenSSL para corrigir a brecha, para atualizar basta usar o yum:
yum update openssl
O nome do pacote é openssl-1.0.1e-16.el6_5.7.i686 para 32 bits e openssl-1.0.1e-16.el6_5.7.x86_64 para 64 bits
Após executar a atualização reinicie o web server que esta sendo utilizado.
Recomento também a leitura dos seguintes artigos sobre o assunto:
- Gizmodo – Como funciona o Heartbleed: o código por trás da assustadora falha de segurança na internet
- Post do David Busby – OpenSSL heartbleed CVE-2014-0160 – Data leaks make my heart bleed
- Post publicado no fórum da comunidade CentOS – heartbleed openssl bug, need 1.0.1g openssl version
É isso pessoal, sei que é mais do mesmo, mais achei importante escrever sobre o assunto, até a próxima 🙂