[FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL "Heartbleed" bug]

[Welkson Renny de Medeiros]

2014-04-08 18:24 GMT-03:00 Renato Botelho <rbgarga em gmail.com>:

> -------- Forwarded Message --------
> From: FreeBSD Security Officer <security-officer em freebsd.org>
> Reply-to: freebsd-security em freebsd.org
> To: FreeBSD Security Advisories <security-advisories em freebsd.org>
> Subject: [FreeBSD-Announce] HEADSUP! OpenSSL "Heartbleed" bug
> Date: Tue, 8 Apr 2014 20:42:29 GMT
>
> Hi,
>
> This is a heads-up for the OpenSSL "Heartbleed" bug.
>
> FreeBSD port security/openssl have been patched on 2014-04-07 21:46:40
> UTC (head, r350548) and 2014-04-07 21:48:07 UTC (branches/2014Q2, r350549).
>
> FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head,
> r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08
> 18:27:46 UTC (releng/10.0, r264267).  The update is available with
> freebsd-update.  All other supported FreeBSD branches are not affected
> by this issue.
>


Quando vi o anúncio dessa falha não dei a devida importância, mas ontem já
deu para perceber o tamanho do estrago. Conseguiram capturar diversas
senhas de usuários do Yahoo, etc.

Estava conferindo a versão do OpenSSL no meu sistema:

% openssl version -v

OpenSSL 0.9.8x 10 May 2012

De acordo com esse site [1] não está vulnerável (mas é bem antiga, talvez
tenha outras falhas, não sei).

Nesse site [2] tem explicações referente a falha, e nesse [3] e esse [4]
explica o bug no código.

Para testar se seu site está vulnerável temos esses: [5] [6] [7]

Aparentemente o SSH não é vulnerável [8]

[1] http://beta.slashdot.org/story/200451

[2] http://heartbleed.com/

[3]
http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html?m=1

[4]
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

[5] http://possible.lv/tools/hb/

[6] http://filippo.io/Heartbleed/

[7] http://rehmann.co/projects/heartbeat/

[8]

Welkson