Boa noite, Frederico! Na primeira semana do mês passado, durante auditoria do time de segurança da Red Hat, foi descoberto um bug no GnuTLS que consiste na verificação incorreta de certificados abrindo espaço para um invasor criar um certificado especial que poderia ser aceito como válido. Segue abaixo os links:
http://www.gnutls.org/security.html#GNUTLS-SA-2014-2 http://www.debian.org/security/2014/dsa-2869 https://rhn.redhat.com/errata/RHSA-2014-0246.html Como você mesmo falou, algumas dessas falhas passam despercebidas por anos, e essa do GnuTLS existia desde 2005. Acredito que isso é muito preocupante por envolver serviços que gerenciam informações por vezes muito sensíveis. Atenciosamente, -- Geowany Galdino Alves Assistente em Tecnologia da Informação Núcleo de Tecnologia da Informação Universidade Federal do Acre http://www.ufac.br +55(68)3229-4818 ----- Mensagem original ----- De: "Frederico Souza da Camara" <[email protected]> Para: [email protected], "marcos linhares" <[email protected]> Cc: [email protected] Enviadas: Sexta-feira, 11 de abril de 2014 17:03:14 Assunto: Re: [Cisl-comunidade] Fw: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL Oi Geowany, Eu procurei nos Security Advisories do GnuTLS e não encontrei nada semelhante ou recentemente que tenha acontecido com o GnuTLS. Você pode ser mais específico? Programas em C são bastante susceptíveis a erros de estouro de buffer. Se o programador não tratar isto durante a programação, estas falhas tendem a passar despercebidas por anos. O advisory aqui é importante, porque pode ter comprometido suas senhas nos servidores, e os usuários tem que trocar as senhas. Não foi o caso dos outros advisories que eu vi. Atenciosamente, -- Frederico Souza da Camara - [email protected] CEAGO - Coordenadoria Estratégica de Ações Governamentais Serpro - #61 2021-8341 Em 10/04/2014 17:57:22, Geowany Galdino Alves escreveu: Muito obrigado, Marcos! Mas o que me deixa intrigado é que algo semelhante aconteceu recentemente com o GnuTLS. Att, De: "MARCOS VINICIUS LINHARES" < [email protected] > Para: "Lista CISL" < [email protected] > Enviadas: Quinta-feira, 10 de abril de 2014 13:54:25 Assunto: [Cisl-comunidade] Fw: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL PessoALL, Compartilhando, peço desculpas aos não interessados. Cordialmente, Marcos Vinicius Linhares Analista de Sistemas - Setor de Infraestrutura de TIC - SEINFRA Secretaria de Tecnologia de Informação e Comunicação - SETIC Universidade do Estado de Santa Catarina - UDESC ---------- Mensagem encaminhada ---------- Remetente: [email protected] Data: 10/04/2014 13:34 (01:17 horas atrás) Assunto: [Forum-TIC] ALERTA - Falha grave na implementação do OpenSSL Para: "Forum TI" < [email protected] > Prezados Essa semana foi descoberta uma falha grave de segurança no OpenSSL , permitindo que atacantes pudessem obter as senhas e outros dados dos usuários: gizmodo.com/how-heartbleed-works-the-code-behind-the-internets-se-1561341209 lifehacker.com/what-the-heartbleed-security-bug-means-for-you-1560801201 Este site lista os principais serviços afetados, se o patch já foi aplicado e se é ou não necessária a troca de senha: mashable.com/2014/04/09/heartbleed-bug-websites-affected/ Recomenda-se que a senha seja alterada nos seguintes serviços: Facebook, Google, Yahoo, Dropbox, Tumblr dentre outros. Caso alguém utilize algum site com SSL, é interessante testar se o mesmo precisa ser "arrumado" no seguinte link: filippo.io/Heartbleed/ Atenciosamente ---- Fernando A. Seidler Técnico de Informática - Setor de Infraestrutura de TIC - SEINFRA Secretaria de Tecnologia da Informação e Comunicação - SETIC Universidade do Estado de Santa Catarina - UDESC _______________________________________________ Portal do CISL: www.softwarelivre.gov.br _______________________________________________ Cisl-comunidade mailing list [email protected] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/cisl-comunidade -- Geowany Galdino Alves Assistente em Tecnologia da Informação Núcleo de Tecnologia da Informação Universidade Federal do Acre http://www.ufac.br +55(68)3229-4818 _______________________________________________ Portal do CISL: www.softwarelivre.gov.br _______________________________________________ Cisl-comunidade mailing list [email protected] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/cisl-comunidade - "Esta mensagem do SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO), empresa pública federal regida pelo disposto na Lei Federal nº 5.615, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco." "This message from SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS (SERPRO) -- a government company established under Brazilian law (5.615/70) -- is directed exclusively to its addressee and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you're not the addressee, please send it back, elucidating the failure."
_______________________________________________ Portal do CISL: www.softwarelivre.gov.br _______________________________________________ Cisl-comunidade mailing list [email protected] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/cisl-comunidade
