Skip to main content

Heartbleed bug

Erro relacionado

Este servidor é vulnerável ao Heartbleed. Atualize para a versão mais recente do OpenSSL, substitua o certificado em seu servidor web ou dispositivo e redefina as senhas de usuário final que podem estar visíveis em uma memória de servidor comprometida."

Problema

O bug Heartbleed está na extensão de pulsação da biblioteca criptográfica OpenSSL. As bibliotecas criptográficas em OpenSSL versões 1.0.1 a 1.0.1fe 1.0.2-beta1 são vulneráveis a esse ataque. A vulnerabilidade do bug Heartbleed é uma fraqueza na biblioteca criptográfica OpenSSL, que permite que um invasor obtenha acesso a informações confidenciais que normalmente são protegidas pelos protocolos SSL e TLS.

Aviso

OpenSSL é um kit de ferramentas de código aberto que implementa os protocolos Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS). Inclui uma biblioteca criptográfica que emprega funções criptográficas e fornece diferentes funções utilitárias. A biblioteca criptográfica é comumente implementada por servidores na Internet para proteger grande parte do tráfego na Internet.

Um invasor pode usar o ataque de bug Heartbleed para obter acesso a:

  • Chaves de criptografia

    O invasor pode usar essas chaves para descriptografar comunicações seguras passadas e futuras para seu site e se passar por seu site a qualquer momento.

  • As credenciais do usuário

    O invasor pode usar os nomes de usuário e as senhas de seus clientes para acessar suas informações protegidas pelo seu site.

  • Conteúdo protegido

    O invasor pode acessar detalhes pessoais ou financeiros, comunicações privadas (e-mail ou mensagens instantâneas) e documentos.

  • Garantia

    O invasor pode acessar o conteúdo de memória vazado, como endereço de memória e medidas de segurança.

Solução

Corrigir software

Ao proteger seu ambiente contra o bug Heartbleed, você precisa corrigir o OpenSSL em servidores que executam versões vulneráveis do OpenSSL e software usando versões afetadas da biblioteca OpenSSL.

Atualize para a versão mais recente do OpenSSL (versão 1.0.1g ou posterior).

  • Servidores

    Verifique seu gerenciador de pacotes para um pacote OpenSSL atualizado e instale-o. Se você não tiver um pacote OpenSSL atualizado, obtenha a versão mais recente do OpenSSL com seu provedor de serviços.

  • Programas

    Verifique se há patches de software lançados para corrigir a vulnerabilidade do bug Heartbleed e instale-os. Se você não tiver patches de software, entre em contato com o fornecedor do software para obter o patch mais recente e instalá-lo.

Nota

Pode ser necessário reiniciar o software após a correção para garantir que a biblioteca OpenSSL seja redefinida e que o bug Heartbleed seja removido da memória em cache.

Se não conseguir atualizar para a última versão do OpenSSL:

  • Reverta para OpenSSL versão 1.0.0 ou anterior.

  • Recompile o OpenSSL com o sinalizador OPENSSL_NO_HEARTBEATS.

Verifique se as vulnerabilidades foram corrigidas

Use o DigiCert Discovery para verificar novamente seu ambiente para garantir que você não esteja mais vulnerável ao ataque de bug Heartbleed.

Rechavear, re-emitir e instalar certificados

  • Rekey e reemitir todos os certificados em seus servidores afetados. Ao reemitir certificados, certifique-se de gerar novas solicitações de assinatura de certificado (CSRs). Consulte Criar um CSR.

  • Após a correção dos servidores e software, e somente após terem sido corrigidos, instale os seus certificados reemitidos.

Revogar certificados substituídos

Após instalar certificados reemitidos, é necessário revogar os certificados que foram substituídos. Para obter os seus certificados revogados, contate a sua Autoridade de Certificação.

Para clientes DigiCert, envie um e-mail para suporte. Certifique-se de incluir o número do pedido do seu certificado e uma breve descrição do que você deseja revogado.

Redefinir senhas

Se seus servidores aceitarem senhas, você também deverá fazer com que seus clientes redefinam suas senhas, mas somente depois que os servidores e o software forem corrigidos e os certificados forem recodificados, reemitidos, instalados e revogados.

Aviso

Se os clientes redefinirem suas senhas antes que os servidores ou software sejam corrigidos e os certificados sejam reinseridos, reemitidos, instalados e revogados, suas senhas ainda serão expostas. Eles devem redefinir suas senhas novamente.