[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta: Vulnerabilidade possibilita ataque Man-in-the-Middle envolvendo o OpenSSL]

CSIRT - UNICAMP security em unicamp.br
Seg Jun 16 10:12:47 -03 2014 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

Date: Fri, 13 Jun 2014 17:06:39 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br, pop-seg em cais.rnp.br
cc: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade possibilita ataque Man-in-the-Middle envolvendo o OpenSSL

-----BEGIN PGP SIGNED MESSAGE-----

O CAIS alerta sobre a recente vulnerabilidade presente na biblioteca 
OpenSSL, que é utilizada nos protocolos SSL, TLS e DTLS. A biblioteca 
OpenSSL é utilizada para prover comunicação segura e privacidade na 
internet para diversos serviços e aplicativos, tais como: sistemas de 
email, navegadores web, mensagens instantâneas(IM), VPNs, entre outros.

Impacto

Um usuário mal intencionado poderia enviar uma mensagem maliciosa 
(ChangeCipherSpec message)
durante o handshake do TLS, precisamente antes da chave de sessão ser 
gerada, dessa forma, ele poderia realizar um
ataque do tipo main-in-the-middle, obtendo assim informações trocadas 
entre cliente e servidor.

É importante salientar que a realização desse ataque depende das seguintes 
condições serem satisfeitas:

Primeiro: O usuário malicioso precisa estar na mesma rede que as vítimas 
(cliente e servidor). 
Segundo: O usuário malicioso precisa forçar a utilização de chaves de 
criptografia frágeis, visto que
ele precisa descobrir o hash gerado na comunicação entre cliente e 
servidor durante o handshake.

Vale lembrar quer os principais browsers (Internet Explorer, Firefox, 
Chrome e Safari) não são vulneráveis ao ataque contra o OpenSSL.

Até a divulgação deste alerta, não existem relatos de exploração da 
vulnerabilidade no OpenSSL.


Recomendações

Verificar se o sistema está vulnerável

Execute o comando abaixo em um sistema UNIX-LIKE ou Windows e verifique a 
versão instalada.

#openssl version -a

OBS: Para sistemas Windows, o comando acima deve conter também o diretório 
de instalação do OpenSSL.


Corrigir a vulnerabilidade identificada

Atualize o OpenSSL para a versão 1.0.1h ou a mais recente recomendada 
pelos desenvolvedores.

Todos os aplicativos que utilizam o OpenSSL, deverão ser reiniciados para 
que as mudanças sejam efetivadas.


Versões afetadas:

Todas as versões clientes do OpenSSL

OpenSSL 1.0.1        - Versão server
OpenSSL 1.0.2-beta1  - Versão server

Mais informações

1 - Análise da vulnerabilidade no OpenSSL
        
http://www.theguardian.com/technology/2014/jun/06/heartbleed-openssl-bug-security-vulnerabilities 

2 - Latest OpenSSL bug 'may be more dangerous than Heartbleed'
        
http://www.theguardian.com/technology/2014/jun/06/heartbleed-openssl-bug-security-vulnerabilities

3 - OpenSSL Security Advisory
        https://www.openssl.org/news/secadv_20140605.txt

Identificador CVE (http://cve.mitre.org <http://cve.mitre.org/>): 
CVE-2014-0224

O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBU5tZ3Okli63F4U8VAQHtSwP/Q2X2UKv/Ra4YE0q2cvQ35GDrmJ6d4FYA
eUw6zCTYMM0/ccaU3ycO1u0LI8ZmS5HhXgGDC/relTfLkonqIxALl5gIj3rItVvS
9hA/FPcJPqZEQ7p+fBQT3/pwC/dBg1VdSj9Hag7+zd48dtbE0a0KJ535MgWBonc8
MdlhtIQ/ocE=
=o0mZ
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L