[FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL "Heartbleed" bug]
Welkson Renny de Medeiros
welkson em gmail.com
Quinta Abril 10 13:36:09 BRT 2014
Em 10 de abril de 2014 12:57, Enrique Fynn <enriquefynn em gmail.com> escreveu:
> Atenção especial aos servidores rodando FreeBSD, foram os únicos que
> um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte
> não é das mais confiáveis (Twitter) [0], mas não vejo razão para que
> não seja verdadeira.
>
> Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave
> [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais
> frequentemente =/
>
>
> [0] https://twitter.com/1njected/status/453781230593769472
> [1]
> http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
>
> Peace;
> Fynn.
>
Fynn,
Pelo que li sobre esse teste feito pelo 1njected, assim que ele inicou o
serviço já fez o teste via ssltest.py, ou seja, não tinha muita coisa na
memória além da chave privada.
Eu acredito que se repetir o teste em qualquer outro SO com openssl
vulnerável "nas mesmas condições" ocorrerá o mesmo problema.
Welkson
Mais detalhes sobre a lista de discussão freebsd