Nova versão do OpenSSL resolve falhas de segurança no interpretado ASN1

Publicado em 24/04/2012 às 15:35 | 3989 leituras

Falha detectada por engenheiro do Google já foi corrigida, contudo não se sabe a relevância da falha ou suas potenciais consequências.


Versão para impressão Enviar por email


SSLTavis Ormandy do Google Security Team notificou os desenvolvedores do OpenSSL de uma falha de segurança na versão atual de sua biblioteca em código aberto. Os erros aconteciam quando interpretando dados ASN1 através da função asn1_d2i_read_bio(). De acordo com a recomendação oficial da OpenSSL e com a mensagem de Ormandy, o problema afeta aplicativos que processam certificados X.509 externos ou chaves RSA públicas. Contudo, a informação restante sobre os aplicativos que são afetados, e as consequências em potencial, são um pouco criptícas.


Os desenvolvedores do OpenSSL lançaram as versão 1.0.1a, 1.0.0i e 0.9.8v para resolver o problema "ASN1 BIO" mas as recomendações não afirmam se essa atualização é urgente. A equipe do OpenSSL falou sobre uma "vulnerabilidade potencialmente explorável" e Ormandy ofereceu mais detalhes ao dizer que o problema "pode causar corrupção de memória", mas nenhum afirmou qualquer coisa sobre suas potenciais consequências. O escopo total do problema deve provavelmente ser completamente revelado uma vez que o módulo Metasploit for lançado.


O próprio servidor SSH do projeto OpenSSH não foi afetado. Damien Miller comentou que o sshd verifica chaves RSA com a função personalizada openssh_RSA_verify() que, de acordo com Miller, já ajudou a evitar oito falhas exploráveis no interpretador ASN1. Os pacotes corrigidos do OpenSSL para Ubuntu e OpenBSD já foram disponibilizados. Correções para o Red Hat Enterprise Linux e Fedora estão a caminho.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Marco Civil garante privacidade, avalia pioneiro da web no Brasil

Publicado em: 24/04/2014 às 11:40 | leituras |

Segundo o engenheiro Demi Getschko, considerado pioneiro da web no Brasil, o Marco Civil está "a serviço da internet para protegê-la de interferências espúrias de futuros projetos de lei bem-intencionados que podem ser danosos ou de bisbilhotagem adicional".

Malware Android engana usuários do Facebook e rouba dados

Publicado em: 24/04/2014 às 9:07 | leituras |

Vírus instrui usuários da rede a fazer o download e instalar o malware Android que pode roubar códigos de autenticação enviados via SMS.

Heartbleed: 86% dos apps móveis continuam vulneráveis, diz Trend Micro

Publicado em: 23/04/2014 às 16:53 | leituras |

Grande parte dos aplicativos é da categoria 'estilo de vida' e dados como endereço e cartão de crédito dos usuários podem ser expostos.

Rio se prepara para ganhar 50 empreendimentos digitais

Publicado em: 23/04/2014 às 15:20 | leituras |

O Start-up Rio vai destinar um total de R$ 5 milhões para o incentivo desses 50 projetos. O objetivo é expandir a cultura de inovação tecnológica, criatividade e empreendedorismo no Rio de Janeiro, busca transformar o estado em uma vitrine de exportação dessas futuras empresas.

Oracle identifica os produtos afetados pelo Heartbleed

Publicado em: 23/04/2014 às 13:23 | leituras |

Alguns produtos ainda não possuem correções. A empresa informou que está trabalhando em ritmo acelerado para a correção de todos os produtos que apresentaram a vulnerabilidade.

A nuvem pode ficar mais cara!

Publicado em: 23/04/2014 às 12:39 | leituras |

Ao contratar o serviço, é importante contabilizar o recolhimento de impostos, mesmo que o fornecedor esteja fora do país e o pagamento seja feito por cartão de crédito ou transferência bancária internacional.

O e-Social e o fim da informalidade no setor de TI

Publicado em: 23/04/2014 às 10:46 | leituras |

O e-Social é uma iniciativa do Governo Federal para unificar as obrigações fiscais, trabalhistas, e previdenciárias, de todas as empresas, e principalmente torná-las digitais, permitindo ao governo um salto de eficiência na fiscalização dos contribuintes.

Apple busca novos funcionários para trabalhar em sistema de pagamentos móveis

Publicado em: 23/04/2014 às 10:27 | leituras |

De acordo com o site Re/code, duas fontes familiarizadas com o assunto dizem que a entidade tem se reunido com empresários candidatos a dois novos cargos na companhia. As posições seriam de chefe de produto e diretor de cargos de desenvolvimento de negócios, ambas focadas exclusivamente na construção e gerenciamento de uma plataforma voltada para pagamentos móveis.

Falta de profissionais ameaça projetos em TI

Publicado em: 23/04/2014 às 9:59 | leituras |

O setor vive um verdadeiro apagão de mão de obra. A falta de profissionais no mercado de tecnologia da informação (TI) levou o setor a tomar medidas inusitadas: importar mão de obra especializada.

CONSOLINE: Congresso de Software Livre do Nordeste

Publicado em: 22/04/2014 às 17:52 | leituras |

O CONSOLINE será realizado no dia 26/04/2014, em Recife. É um evento gratuito constituído junto com a comunidade Pernambucana para divulgar, debater e fomentar o Software Livre no estado.

Brasil pode se destacar por pequenos projetos de SDN

Publicado em: 22/04/2014 às 15:02 | leituras |

No mercado de Tecnologia da Informação e Comunicação as inovações, o tempo de mudanças e migrações são rápidos. Em cinco anos, processos e formas de lidar com a tecnologia podem ser totalmente diferentes.

Conferência em SP debate internet mais global e segura

Publicado em: 22/04/2014 às 13:13 | leituras |

Documento que será aprovado esta semana no encontro NetMundial condena a espionagem mas defende uma governança multissetorial da internet.

Fundação Gates recebe inscrição de projetos inovadores do Brasil

Publicado em: 22/04/2014 às 12:32 | leituras |

Programa já tem parceria com fundações de amparo à pesquisa de 17 estados do Brasil. Inscrição para interessados em concorrer vaga vai até 06/05.

Equipe do OpenBSD cria fork do OpenSSL chamado LibreSSL

Publicado em: 22/04/2014 às 10:38 | leituras |

Conhecido por sua renomada segurança, o OpenBSD agora ataca o SSL e cria um fork do OpenSSL.

Crackers reutilizam código fonte de malware para ataques virtuais

Publicado em: 22/04/2014 às 8:56 | leituras |

Relatório de Ameaças 2014 da Websense revela a crescente infraestrutura global de serviços apoiando atividades criminosas, incluindo kits de exploração e cadeias de redirecionamento em sites comprometidos.

Novidades do segundo dia de Build Conference

Publicado em: 21/04/2014 às 8:51 | leituras |

Saiba tudo sobre as novidades do segundo dia de Build Conference.

Lançado o Ubuntu 14.04 – baixe agora

Publicado em: 17/04/2014 às 17:51 | leituras |

Saiu o tão aguardado Ubuntu 14.04. Se você estava na expectiva, é hora de baixar a nova versão do Ubuntu.

Chrome Remote Desktop chega ao Android

Publicado em: 17/04/2014 às 16:14 | leituras |

O Google anunciou hoje a chegada ao Chrome Remote Desktop para Android, um novo aplicativo que permite acessar outros computadores e/ou permitir que outro usuário acesse seu computador de forma segura pela internet.

Fire TV: Conheça o media center (e console de games) da Amazon

Publicado em: 17/04/2014 às 16:03 | leituras |

O Fire TV, apesar do nome, parece bem promissor, mesmo custando US$ 99 (lá fora). Este set-top box já conta com suporte aos populares apps Netflix e Hulu, além do serviço de streaming da Amazon, é claro, entre outros serviços.

UOL Host capacita parceiros para avançar nas PMEs

Publicado em: 17/04/2014 às 13:58 | leituras |

Para este ano, informa Ricardo Dutra, diretor da empresa, a capacitação desses parceiros é o mote. Para isso, destaca, há o investimento na oferta de cursos pela Internet. "Precisamos garantir que o atendimento remoto tenha qualidade em qualquer lugar do país. O treinamento é absolutamente crucial para fidelizarmos os clientes".

SP vai usar tecnologia da polícia de Nova York para controlar crimes

Publicado em: 17/04/2014 às 13:36 | leituras |

Sistema de monitoramento inteligente criminal, baseado em ferramentas de Big Data, será implementado na Secretaria de Segurança estadual de São Paulo pela Microsoft.

Infraestrutura de rede antiga é um dos gargalos da SDN

Publicado em: 17/04/2014 às 11:30 | leituras |

Segundo um levantamento apresentado pela Avaya, o tempo médio para uma janela de manutenção na rede é de 27 dias. A demora, no entanto, causa algumas consequências.

Dez oportunidades de adoção de nuvens públicas

Publicado em: 17/04/2014 às 10:39 | leituras |

CRM, e-mail, desenvolvimento e testes fazem parte da lista de tecnologias que podem migrar para a cloud e permitir melhorias para os negócios.

Heartbleed deixa mais de 50 milhões de dispositivos Android vulneráveis

Publicado em: 16/04/2014 às 15:16 | leituras |

Desde a última semana, a falha de segurança Heartbleed é destaque nos principais veículos de comunicação especializados em tecnologia. Ela já afetou grandes sites e diversos dispositivos ao redor do mundo, entre eles milhões de usuários finais de aparelhos Android.

UFRJ abre inscrições para curso grátis sobre Big Data

Publicado em: 16/04/2014 às 9:18 | leituras |

Segunda edição da Summer School on Big Data é patrocinada pela EMC e terá 150 vagas distribuídas em três minicursos.


Mais notícias


whitepapers

mais whitepapers

  

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 187002 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 110590 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 103520 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 94781 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 75300 leituras

  1. Certificação digital biométrica expande pro Rio, São Paulo e Rio Grande do Sul

    Publicado em 13/09/2013 às 11:07 | 1983 leituras

  1. Segurança: como os seus dados on-line estão sendo empacotados e vendidos

    Publicado em 23/10/2013 às 11:52 | 2186 leituras

  1. Amazong S3 recebe suporte CORS

    Publicado em 04/09/2012 às 14:51 | 3320 leituras

  1. Open Cloud Initiative define seus princípios

    Publicado em 29/07/2011 às 9:19 | 4387 leituras

  1. Um tablet com a interface Plasma do KDE

    Publicado em 01/02/2012 às 11:30 | 4235 leituras