Heartbleed bug

Erro relacionado

"Este servidor é vulnerável a um ataque Heartbleed. Atualize para a última versão do OpenSSL, substitua o certificado no seu servidor web ou aparelho, e redefina senhas do usuário final que podem estar visíveis em uma memória do servidor comprometida."

Problema

O Heartbleed Bug está na extensão da pulsação da biblioteca criptográfica OpenSSL. As bibliotecas criptográficas nas versões OpenSSL 1.0.1 até 1.0.1f e 1.0.2-beta1 são vulneráveis ao ataque Heartbleed Bug. A vulnerabilidade Heartbleed Bug é uma fraqueza na biblioteca criptográfica do OpenSSL, permitindo que um invasor ganhe acesso a informações sensíveis normalmente protegidas pelos protocolos SSL e TLS.

OpenSSL é um kit de ferramentas de código aberto que implementa os protocolos Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS), incluindo uma biblioteca criptográfica que emprega funções criptográficas e fornece diferentes funções de utilitário. A biblioteca criptográfica é comumente implementada por servidores na Internet para proteger grande parte do tráfego na Internet.

Um invasor pode usar o ataque Heartbleed Bug para ganhar acesso a:

  • Chaves de criptografia
    Invasor pode usar estas chaves para decodificar comunicações passadas e futuras protegidas para o seu site e fingir ser seu site em qualquer momento.
  • Credenciais de usuário
    Invasor pode usar os nomes de usuário e senhas dos seus clientes para acessar suas informações protegidas pelo seu site.
  • Conteúdo protegido
    Invasor pode acessar detalhes pessoais e financeiros, comunicações particulares (e-mail ou mensagens instantâneas) e documentos.
  • Colateral
    Invasor pode acessar conteúdo de memória vazada, como endereço da memória e medidas de segurança.

Solução

Corrigir software

Ao proteger o seu ambiente contra o Heartbleed Bug, será necessário corrigir o OpenSSL em servidores rodando versões vulneráveis do OpenSSL e software usando versões afetadas da biblioteca do OpenSSL.

Atualize para a última versão do OpenSSL (versão 1.0.1g ou posterior).

  • Servidores
    Verifique o gerente do seu pacote para um pacote OpenSSL atualizado e instale-o. Se você não tiver um pacote OpenSSL atualizado, obtenha a última versão do OpenSSL com o seu Provedor de serviços.
  • Software
    Verifique correções de software lançadas para corrigir a vulnerabilidade do Heartbleed Bug e corrija-as. Se não tiver correções de software, contate o provedor do seu software para obter a última correção e instale-a.
    Nota: Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.

Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.

Se não conseguir atualizar para a última versão do OpenSSL:

  • Volte para a versão 1.0.0 do OpenSSL ou inferior.
  • Recompile o OpenSSL com o sinalizador OPENSSL_NO_HEARTBEATS.

Verifique se as vulnerabilidades do Heartbleed Bug estão corrigidas

Use o DigiCert para analisar novamente o seu ambiente para ter certeza de que você não está mais vulnerável ao ataque Heartbleed Bug.

Rechavear, re-emitir e instalar certificados

  • Rechaveie e reemita todos os certificados nos seus servidores afetados.
    Ao re-emitir certificados, certifique-se de gerar novas solicitações de assinatura de certificado (CSRs). Veja Criar um CSR.
  • Após a correção dos servidores e software, e somente após terem sido corrigidos, instale os seus certificados reemitidos.

Revogar certificados substituídos

Após instalar certificados reemitidos, é necessário revogar os certificados que foram substituídos. Para obter os seus certificados revogados, contate a sua Autoridade de Certificação.

Para clientes da DigiCert, envie e-mail para suporte em support@digicert.com. Certifique-se de incluir o número do pedido do seu certificado e uma breve descrição do que você deseja revogado.

Redefinir senhas

Se os seus servidores aceitam senhas, você também deve fazer os seus clientes redefinirem as suas senhas, mas apenas após a correção dos servidores e software, e rechaveamento, re-emissão, instalação e revogação dos certificados.

Se os clientes redefinirem as suas senhas antes da correção dos servidores/software e o rechaveamento, re-emissão, instalação e revogação dos certificados, suas senhas ainda estarão expostas e será necessário redefini-las novamente.

Sobre

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.