Este servidor é vulnerável ao Heartbleed. Atualize para a versão mais recente do OpenSSL, substitua o certificado em seu servidor web ou dispositivo e redefina as senhas de usuário final que podem estar visíveis em uma memória de servidor comprometida."
O bug Heartbleed está na extensão de pulsação da biblioteca criptográfica OpenSSL. As bibliotecas criptográficas em OpenSSL versões 1.0.1 a 1.0.1fe 1.0.2-beta1 são vulneráveis a esse ataque. A vulnerabilidade do bug Heartbleed é uma fraqueza na biblioteca criptográfica OpenSSL, que permite que um invasor obtenha acesso a informações confidenciais que normalmente são protegidas pelos protocolos SSL e TLS.
Aviso
OpenSSL é um kit de ferramentas de código aberto que implementa os protocolos Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS). Inclui uma biblioteca criptográfica que emprega funções criptográficas e fornece diferentes funções utilitárias. A biblioteca criptográfica é comumente implementada por servidores na Internet para proteger grande parte do tráfego na Internet.
Um invasor pode usar o ataque de bug Heartbleed para obter acesso a:
Chaves de criptografia
O invasor pode usar essas chaves para descriptografar comunicações seguras passadas e futuras para seu site e se passar por seu site a qualquer momento.
As credenciais do usuário
O invasor pode usar os nomes de usuário e as senhas de seus clientes para acessar suas informações protegidas pelo seu site.
Conteúdo protegido
O invasor pode acessar detalhes pessoais ou financeiros, comunicações privadas (e-mail ou mensagens instantâneas) e documentos.
Garantia
O invasor pode acessar o conteúdo de memória vazado, como endereço de memória e medidas de segurança.
Ao proteger seu ambiente contra o bug Heartbleed, você precisa corrigir o OpenSSL em servidores que executam versões vulneráveis do OpenSSL e software usando versões afetadas da biblioteca OpenSSL.
Atualize para a versão mais recente do OpenSSL (versão 1.0.1g ou posterior).
Servidores
Verifique seu gerenciador de pacotes para um pacote OpenSSL atualizado e instale-o. Se você não tiver um pacote OpenSSL atualizado, obtenha a versão mais recente do OpenSSL com seu provedor de serviços.
Programas
Verifique se há patches de software lançados para corrigir a vulnerabilidade do bug Heartbleed e instale-os. Se você não tiver patches de software, entre em contato com o fornecedor do software para obter o patch mais recente e instalá-lo.
Nota
Pode ser necessário reiniciar o software após a correção para garantir que a biblioteca OpenSSL seja redefinida e que o bug Heartbleed seja removido da memória em cache.
Se não conseguir atualizar para a última versão do OpenSSL:
Reverta para OpenSSL versão 1.0.0 ou anterior.
Recompile o OpenSSL com o sinalizador OPENSSL_NO_HEARTBEATS.
Use o DigiCert Discovery para verificar novamente seu ambiente para garantir que você não esteja mais vulnerável ao ataque de bug Heartbleed.
Rekey e reemitir todos os certificados em seus servidores afetados. Ao reemitir certificados, certifique-se de gerar novas solicitações de assinatura de certificado (CSRs). Consulte Criar um CSR.
Após a correção dos servidores e software, e somente após terem sido corrigidos, instale os seus certificados reemitidos.
Após instalar certificados reemitidos, é necessário revogar os certificados que foram substituídos. Para obter os seus certificados revogados, contate a sua Autoridade de Certificação.
Para clientes DigiCert, envie um e-mail para suporte. Certifique-se de incluir o número do pedido do seu certificado e uma breve descrição do que você deseja revogado.
Se seus servidores aceitarem senhas, você também deverá fazer com que seus clientes redefinam suas senhas, mas somente depois que os servidores e o software forem corrigidos e os certificados forem recodificados, reemitidos, instalados e revogados.
Aviso
Se os clientes redefinirem suas senhas antes que os servidores ou software sejam corrigidos e os certificados sejam reinseridos, reemitidos, instalados e revogados, suas senhas ainda serão expostas. Eles devem redefinir suas senhas novamente.