[SECURITY-L] [cais em cais.rnp.br: CAIS-Alerta: Vulnerabilidade possibilita ataque Man-in-the-Middle envolvendo o OpenSSL]
CSIRT - UNICAMP
security em unicamp.br
Seg Jun 16 10:12:47 -03 2014
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
Date: Fri, 13 Jun 2014 17:06:39 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br, pop-seg em cais.rnp.br
cc: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade possibilita ataque Man-in-the-Middle envolvendo o OpenSSL
-----BEGIN PGP SIGNED MESSAGE-----
O CAIS alerta sobre a recente vulnerabilidade presente na biblioteca
OpenSSL, que é utilizada nos protocolos SSL, TLS e DTLS. A biblioteca
OpenSSL é utilizada para prover comunicação segura e privacidade na
internet para diversos serviços e aplicativos, tais como: sistemas de
email, navegadores web, mensagens instantâneas(IM), VPNs, entre outros.
Impacto
Um usuário mal intencionado poderia enviar uma mensagem maliciosa
(ChangeCipherSpec message)
durante o handshake do TLS, precisamente antes da chave de sessão ser
gerada, dessa forma, ele poderia realizar um
ataque do tipo main-in-the-middle, obtendo assim informações trocadas
entre cliente e servidor.
É importante salientar que a realização desse ataque depende das seguintes
condições serem satisfeitas:
Primeiro: O usuário malicioso precisa estar na mesma rede que as vítimas
(cliente e servidor).
Segundo: O usuário malicioso precisa forçar a utilização de chaves de
criptografia frágeis, visto que
ele precisa descobrir o hash gerado na comunicação entre cliente e
servidor durante o handshake.
Vale lembrar quer os principais browsers (Internet Explorer, Firefox,
Chrome e Safari) não são vulneráveis ao ataque contra o OpenSSL.
Até a divulgação deste alerta, não existem relatos de exploração da
vulnerabilidade no OpenSSL.
Recomendações
Verificar se o sistema está vulnerável
Execute o comando abaixo em um sistema UNIX-LIKE ou Windows e verifique a
versão instalada.
#openssl version -a
OBS: Para sistemas Windows, o comando acima deve conter também o diretório
de instalação do OpenSSL.
Corrigir a vulnerabilidade identificada
Atualize o OpenSSL para a versão 1.0.1h ou a mais recente recomendada
pelos desenvolvedores.
Todos os aplicativos que utilizam o OpenSSL, deverão ser reiniciados para
que as mudanças sejam efetivadas.
Versões afetadas:
Todas as versões clientes do OpenSSL
OpenSSL 1.0.1 - Versão server
OpenSSL 1.0.2-beta1 - Versão server
Mais informações
1 - Análise da vulnerabilidade no OpenSSL
http://www.theguardian.com/technology/2014/jun/06/heartbleed-openssl-bug-security-vulnerabilities
2 - Latest OpenSSL bug 'may be more dangerous than Heartbleed'
http://www.theguardian.com/technology/2014/jun/06/heartbleed-openssl-bug-security-vulnerabilities
3 - OpenSSL Security Advisory
https://www.openssl.org/news/secadv_20140605.txt
Identificador CVE (http://cve.mitre.org <http://cve.mitre.org/>):
CVE-2014-0224
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.
Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBU5tZ3Okli63F4U8VAQHtSwP/Q2X2UKv/Ra4YE0q2cvQ35GDrmJ6d4FYA
eUw6zCTYMM0/ccaU3ycO1u0LI8ZmS5HhXgGDC/relTfLkonqIxALl5gIj3rItVvS
9hA/FPcJPqZEQ7p+fBQT3/pwC/dBg1VdSj9Hag7+zd48dtbE0a0KJ535MgWBonc8
MdlhtIQ/ocE=
=o0mZ
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L