Heartbleed bug

Erro relacionado

"Este servidor é vulnerável a um ataque Heartbleed. Atualize para a última versão do OpenSSL, substitua o certificado no seu servidor web ou aparelho, e redefina senhas do usuário final que podem estar visíveis em uma memória do servidor comprometida."

Problema

O Heartbleed Bug está na extensão da pulsação da biblioteca criptográfica OpenSSL. As bibliotecas criptográficas nas versões OpenSSL 1.0.1 até 1.0.1f e 1.0.2-beta1 são vulneráveis ao ataque Heartbleed Bug. A vulnerabilidade Heartbleed Bug é uma fraqueza na biblioteca criptográfica do OpenSSL, permitindo que um invasor ganhe acesso a informações sensíveis normalmente protegidas pelos protocolos SSL e TLS.

OpenSSL é um kit de ferramentas de código aberto que implementa os protocolos Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS), incluindo uma biblioteca criptográfica que emprega funções criptográficas e fornece diferentes funções de utilitário. A biblioteca criptográfica é comumente implementada por servidores na Internet para proteger grande parte do tráfego na Internet.

Um invasor pode usar o ataque Heartbleed Bug para ganhar acesso a:

  • Chaves de criptografia
    Invasor pode usar estas chaves para decodificar comunicações passadas e futuras protegidas para o seu site e fingir ser seu site em qualquer momento.
  • Credenciais de usuário
    Invasor pode usar os nomes de usuário e senhas dos seus clientes para acessar suas informações protegidas pelo seu site.
  • Conteúdo protegido
    Invasor pode acessar detalhes pessoais e financeiros, comunicações particulares (e-mail ou mensagens instantâneas) e documentos.
  • Colateral
    Invasor pode acessar conteúdo de memória vazada, como endereço da memória e medidas de segurança.

Solução

Corrigir software

Ao proteger o seu ambiente contra o Heartbleed Bug, será necessário corrigir o OpenSSL em servidores rodando versões vulneráveis do OpenSSL e software usando versões afetadas da biblioteca do OpenSSL.

Atualize para a última versão do OpenSSL (versão 1.0.1g ou posterior).

  • Servidores
    Verifique o gerente do seu pacote para um pacote OpenSSL atualizado e instale-o. Se você não tiver um pacote OpenSSL atualizado, obtenha a última versão do OpenSSL com o seu Provedor de serviços.
  • Software
    Verifique correções de software lançadas para corrigir a vulnerabilidade do Heartbleed Bug e corrija-as. Se não tiver correções de software, contate o provedor do seu software para obter a última correção e instale-a.
    Nota: Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.

Pode ser necessário reiniciar o software após ele ser corrigido para assegurar a biblioteca do OpenSSL esteja redefinida e o Heartbleed Bug seja removido da memória em cache.

Se não conseguir atualizar para a última versão do OpenSSL:

  • Volte para a versão 1.0.0 do OpenSSL ou inferior.
  • Recompile o OpenSSL com o sinalizador OPENSSL_NO_HEARTBEATS.

Verifique se as vulnerabilidades do Heartbleed Bug estão corrigidas

Use o DigiCert para analisar novamente o seu ambiente para ter certeza de que você não está mais vulnerável ao ataque Heartbleed Bug.

Rechavear, reemitir e instalar certificados

  • Rechaveie e reemita todos os certificados nos seus servidores afetados.
    Ao reemitir certificados, certifique-se de gerar novas solicitações de assinatura de certificado (CSRs). Veja Criar um CSR.
  • Após a correção dos servidores e software, e somente após terem sido corrigidos, instale os seus certificados reemitidos.

Revogar certificados substituídos

Após instalar certificados reemitidos, é necessário revogar os certificados que foram substituídos. Para obter os seus certificados revogados, contate a sua Autoridade de Certificação.

Para clientes da DigiCert, envie e-mail para suporte em support@digicert.com. Certifique-se de incluir o número do pedido do seu certificado e uma breve descrição do que você deseja revogado.

Redefinir senhas

Se os seus servidores aceitam senhas, você também deve fazer os seus clientes redefinirem as suas senhas, mas apenas após a correção dos servidores e software, e rechaveamento, reemissão, instalação e revogação dos certificados.

Se os clientes redefinirem as suas senhas antes da correção dos servidores/software e o rechaveamento, reemissão, instalação e revogação dos certificados, suas senhas ainda estarão expostas e será necessário redefini-las novamente.