Heartbleed bug

Erro relacionado

"Este servidor é vulnerável a um ataque Heartbleed. Atualize para a última versão do OpenSSL, substitua o certificado no seu servidor web ou aparelho, e redefina senhas do usuário final que podem estar visíveis em uma memória do servidor comprometida."

Problema

O Heartbleed Bug está na extensão da pulsação da biblioteca criptográfica OpenSSL. As bibliotecas criptográficas nas versões OpenSSL 1.0.1 até 1.0.1f e 1.0.2-beta1 são vulneráveis ao ataque Heartbleed Bug. A vulnerabilidade Heartbleed Bug é uma fraqueza na biblioteca criptográfica do OpenSSL, permitindo que um invasor ganhe acesso a informações sensíveis normalmente protegidas pelos protocolos SSL e TLS.

OpenSSL é um kit de ferramentas de código aberto que implementa os protocolos Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS), incluindo uma biblioteca criptográfica que emprega funções criptográficas e fornece diferentes funções de utilitário. A biblioteca criptográfica é comumente implementada por servidores na Internet para proteger grande parte do tráfego na Internet.

Um invasor pode usar o ataque Heartbleed Bug para ganhar acesso a:

  • Chaves de criptografia
    Invasor pode usar estas chaves para decodificar comunicações passadas e futuras protegidas para o seu site e fingir ser seu site em qualquer momento.
  • Credenciais de usuário
    Invasor pode usar os nomes de usuário e senhas dos seus clientes para acessar suas informações protegidas pelo seu site.
  • Conteúdo protegido
    Invasor pode acessar detalhes pessoais e financeiros, comunicações particulares (e-mail ou mensagens instantâneas) e documentos.
  • Colateral
    Invasor pode acessar conteúdo de memória vazada, como endereço da memória e medidas de segurança.

Solução

Corrigir software

Ao proteger o seu ambiente contra o Heartbleed Bug, será necessário corrigir o OpenSSL em servidores rodando versões vulneráveis do OpenSSL e software usando versões afetadas da biblioteca do OpenSSL.

Atualize para a última versão do OpenSSL (versão 1.0.1g ou posterior).

  • Servidores
    Verifique o gerente do seu pacote para um pacote OpenSSL atualizado e instale-o. Se você não tiver um pacote OpenSSL atualizado, obtenha a última versão do OpenSSL com o seu Provedor de serviços.
  • Software
    Verifique correções de software lançadas para corrigir a vulnerabilidade do Heartbleed Bug e corrija-as. Se não tiver correções de software, contate o provedor do seu software para obter a última correção e instale-a.
    Nota: Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.

Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.

Se não conseguir atualizar para a última versão do OpenSSL:

  • Volte para a versão 1.0.0 do OpenSSL ou inferior.
  • Recompile o OpenSSL com o sinalizador OPENSSL_NO_HEARTBEATS.

Verifique se as vulnerabilidades do Heartbleed Bug estão corrigidas

Use o DigiCert para analisar novamente o seu ambiente para ter certeza de que você não está mais vulnerável ao ataque Heartbleed Bug.

Rechavear, reemitir e instalar certificados

  • Rechaveie e reemita todos os certificados nos seus servidores afetados.
    Ao reemitir certificados, certifique-se de gerar novas solicitações de assinatura de certificado (CSRs). Veja Criar um CSR.
  • Após a correção dos servidores e software, e somente após terem sido corrigidos, instale os seus certificados reemitidos.

Revogar certificados substituídos

Após instalar certificados reemitidos, é necessário revogar os certificados que foram substituídos. Para obter os seus certificados revogados, contate a sua Autoridade de Certificação.

Para clientes da DigiCert, envie e-mail para suporte em support@digicert.com. Certifique-se de incluir o número do pedido do seu certificado e uma breve descrição do que você deseja revogado.

Redefinir senhas

Se os seus servidores aceitam senhas, você também deve fazer os seus clientes redefinirem as suas senhas, mas apenas após a correção dos servidores e software, e rechaveamento, reemissão, instalação e revogação dos certificados.

Se os clientes redefinirem as suas senhas antes da correção dos servidores/software e o rechaveamento, reemissão, instalação e revogação dos certificados, suas senhas ainda estarão expostas e será necessário redefini-las novamente.

Sobre

A DigiCert é a provedora premium do mundo de certificados digitais de garantia: fornecendo implantações confiáveis de SSL e PKI gerenciada e particular, e certificados de dispositivos para o mercado emergente IoT. Desde a nossa fundação há quase quinze anos, temos sido impulsionados pela ideia de encontrar uma forma melhor. Uma melhor forma para fornecer autenticação na Internet. Uma melhor forma para personalizar soluções de acordo com as necessidades do nosso cliente. Agora, agregamos a experiência e talento da Symantec ao nosso legado de inovação para encontrarmos uma melhor forma de liderar a indústria e construirmos maior confiança em identidade e interações digitais.

©2019 DigiCert, Inc. Todos os direitos reservados. A DigiCert e seu logo são marcas registradas da DigiCert, Inc. Symantec e Norton e seus logos são marcas registradas usadas sob licença da Symantec Corporation. Outros nomes podem ser marcas registradas de seus respectivos donos.