Tempo de leitura: 2 minutos
OpenSSL divulgou recentemente uma vulnerabilidade de alta gravidade que pode exigir que você atualize sua versão do OpenSSL.
A Comodo antecipa que essa falha afetará apenas uma pequena porcentagem das instalações, em grande parte porque o bug afeta apenas aqueles que instalaram o OpenSSL versão de junho de 2015. Não há relatos deste bug sendo explorado em liberdade.
Versões de OpenSSL afetadas
1.0.2c, 1.0.2b, 1.0.1n e 1.0.1o.
Qual é a falha?
Durante a verificação do certificado, o OpenSSL (a partir da versão 1.0.1n e 1.0.2b) tentará encontrar uma cadeia de certificados alternativa se a primeira tentativa de construir tal cadeia falhar. Um erro na implementação desta lógica pode significar que um invasor pode fazer com que certas verificações em certificados não confiáveis sejam ignoradas, como a sinalização de CA, permitindo que eles usem um certificado folha válido para atuar como CA e “emitir” um certificado inválido .
Este problema afetará qualquer aplicativo que verifica certificados, incluindo clientes SSL / TLS / DTLS e servidores SSL / TLS / DTLS usando autenticação de cliente.
Como faço para corrigir isso?
Todos os sistemas que usam uma das versões vulneráveis listadas acima precisam ser atualizados da seguinte forma:
- Os usuários do OpenSSL 1.0.2b / 1.0.2c devem atualizar para o OpenSSL 1.0.2d
- Os usuários do OpenSSL 1.0.1n / 1.0.1o devem atualizar para o OpenSSL 1.0.1p
Se você não estiver executando uma das versões acima, não precisará fazer nada.
A Red Hat também anunciou que nenhum produto Red Hat é afetado pela falha descrita em CVE-2015-1793. Espera-se que CentOS e Ubuntu também não sejam afetados.
O anúncio completo do OpenSSL está aqui https://www.openssl.org/news/secadv_20150709.txt
Como sempre, a Comodo está disponível para oferecer ajuda e conselhos aos nossos clientes, caso eles tenham mais perguntas.
Saudações
A equipe Comodo CA
Recursos relacionados:
COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://blog.comodo.com/e-commerce/openssl-security-advisory/
- :tem
- :é
- :não
- 1
- 2015
- a
- acima
- Aja
- Açao Social
- conselho
- consultivo
- afetar
- tb
- alternativa
- sempre
- an
- e
- anunciou
- Anúncio
- qualquer
- Aplicação
- SOMOS
- AS
- Autenticação
- disponível
- BE
- Porque
- ser
- Blog
- Bug
- construir
- by
- CA
- CAN
- Causar
- certo
- certificado
- certificados
- cadeia
- Cheques
- clique
- cliente
- clientes
- COM
- Contacto
- poderia
- Clientes
- descrito
- do
- permitindo
- erro
- Evento
- esperado
- exploradas
- falha
- Encontre
- Primeiro nome
- Fixar
- falha
- segue
- Escolha
- Gratuito
- da
- cheio
- mais distante
- ter
- chapéu
- Ter
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- i
- if
- Impacto
- impactada
- implementação
- in
- Incluindo
- instalado
- instantâneos
- emitem
- IT
- Junho
- largamente
- Listado
- lógica
- max-width
- Posso..
- significar
- você merece...
- não
- of
- oferecer
- on
- ONE
- só
- openssl
- A Nossa
- percentagem
- PHP
- platão
- Inteligência de Dados Platão
- PlatãoData
- Produtos
- Frequentes
- recentemente
- Vermelho
- Red Hat
- liberar
- Relatórios
- requerer
- Recursos
- corrida
- Scorecard
- segurança
- enviar
- Servidores
- rede de apoio social
- pequeno
- Comece
- tal
- ajuda
- sistemas
- Tire
- que
- A
- Eles
- então
- Lá.
- deles
- isto
- aqueles
- tempo
- para
- Ubuntu
- atualização
- atualizado
- usar
- usuários
- utilização
- Verificação
- versão
- vulnerabilidade
- Vulnerável
- Selvagem
- precisarão
- Vocês
- investimentos
- zefirnet