Nova versão do OpenSSL resolve falhas de segurança no interpretado ASN1

Publicado em 24/04/2012 às 15:35 | 5107 leituras

Falha detectada por engenheiro do Google já foi corrigida, contudo não se sabe a relevância da falha ou suas potenciais consequências.


Versão para impressão Enviar por email


SSLTavis Ormandy do Google Security Team notificou os desenvolvedores do OpenSSL de uma falha de segurança na versão atual de sua biblioteca em código aberto. Os erros aconteciam quando interpretando dados ASN1 através da função asn1_d2i_read_bio(). De acordo com a recomendação oficial da OpenSSL e com a mensagem de Ormandy, o problema afeta aplicativos que processam certificados X.509 externos ou chaves RSA públicas. Contudo, a informação restante sobre os aplicativos que são afetados, e as consequências em potencial, são um pouco criptícas.


Os desenvolvedores do OpenSSL lançaram as versão 1.0.1a, 1.0.0i e 0.9.8v para resolver o problema "ASN1 BIO" mas as recomendações não afirmam se essa atualização é urgente. A equipe do OpenSSL falou sobre uma "vulnerabilidade potencialmente explorável" e Ormandy ofereceu mais detalhes ao dizer que o problema "pode causar corrupção de memória", mas nenhum afirmou qualquer coisa sobre suas potenciais consequências. O escopo total do problema deve provavelmente ser completamente revelado uma vez que o módulo Metasploit for lançado.


O próprio servidor SSH do projeto OpenSSH não foi afetado. Damien Miller comentou que o sshd verifica chaves RSA com a função personalizada openssh_RSA_verify() que, de acordo com Miller, já ajudou a evitar oito falhas exploráveis no interpretador ASN1. Os pacotes corrigidos do OpenSSL para Ubuntu e OpenBSD já foram disponibilizados. Correções para o Red Hat Enterprise Linux e Fedora estão a caminho.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Faltam programadores para Java, Groovy, Grails e PL-SQL

Publicado em: 28/11/2014 às 10:37 | leituras |

Faltam profissionais no mercado para atuar com as plataformas Java, Groovy, Grails, e PL-SQL. Só para os especialistas em Java, por exemplo, a média salarial pode variar entre R$ 2 mil (Júnior) a R$ 7 mil (Sênior) no regime de contratação CLT.

Governo corre para formar técnicos em IPv6

Publicado em: 28/11/2014 às 10:31 | leituras |

Um plano de emergência foi adotado pela Secretaria de Logística e Tecnologia da Informação, do Ministério do Planejamento, para reduzir o gap governamental., revelou Daniel de Sousa Araújo, da SLTI, durante evento do NIC.br, realizado nesta quarta-feira, 26/11, em São Paulo.

Funcionários da Cobra Tecnologia aderem á greve em vários estados

Publicado em: 27/11/2014 às 15:19 | leituras |

Os trabalhadores da Cobra Tecnologia no Amapá, Bahia, Ceará, Distrito Federal, Goiás, Maranhão, Pará, Paraná, Pernambuco, Piauí, Rio de Janeiro e São Paulo estão de braços cruzados a partir desta terça-feira, 25/11. Os trabalhadores dos demais estados estão se organizando para aderirem ao movimento nacional.

Anatel admite atraso no IPv6 e diz que não vai ceder à pressão do mercado

Publicado em: 27/11/2014 às 15:09 | leituras |

Objetivo da agência reguladora é fazer com que, até meados do ano que vem, todas as prestadoras de serviços ofertem endereços IPv6 públicos aos novos usuários ou usuários legados que solicitarem endereços nos principais centros por todo o Brasil.

Política das Portas Abertas: Jacob Rossi fala sobre a abertura de código

Publicado em: 26/11/2014 às 14:19 | leituras |

Jacob Rossi, gerente de desenvolvimento do Internet Explorer, quebrou as regras para conversar com a gente sobre a sua perspectiva sobre a abertura de códigos da Microsoft.

ERP livre: ADempiere na Supply Service

Publicado em: 19/11/2014 às 13:15 | leituras |

Confira a entrevista de Gabriela Oppermann e Antônio Pregnolato, respectivamente Diretora Comercial e Gerente de TI do Grupo Supply Service, sobre a escolha e o uso da solução integrada de gestão empresarial de código aberto ADempiere na empresa.

Google libera serviço de música para todos usuários no Brasil

Publicado em: 18/11/2014 às 14:45 | leituras |

Play Música tem 30 milhões de faixas e permite armazenar acervo pessoal. Até 7 de janeiro, serviço oferece 60 dias de graça e assinatura por R$ 13.

Brasil segue sem política de segurança para BYOD

Publicado em: 18/11/2014 às 11:30 | leituras |

Estudo da BT aponta que as brechas na segurança móvel afetaram 78% das organizações brasileiras nos últimos doze meses, e ainda assim, as empresas não tomaram as medidas de segurança adequadas em caso, por exemplo, de infecções causadas por malwares ou roubo de dispositivos.

Redes sociais têm vagas no Brasil

Publicado em: 14/11/2014 às 10:43 | leituras |

Facebook, Google e Apple tem vagas na área de redes sociais em várias cidades do Brasil.

Equipe brasileira conquista primeiro lugar na Copa Mundial de Testes de Software

Publicado em: 12/11/2014 às 15:53 | leituras |

Equipe pernambucana teve o melhor desempenho dos seis continentes participantes do evento, que acontece na Alemanha.

Computador da Apple vendido diretamente por Jobs vai a leilão

Publicado em: 03/11/2014 às 13:58 | leituras |

Co-fundador da empresa vendeu o Apple-1 na casa dos pais, em 1976. Modelo funciona perfeitamente, segundo a casa de leilões Christie's.

NIC.br adverte: provedores, preparem suas redes para o IPv.6

Publicado em: 29/10/2014 às 11:16 | leituras |

Agora que terminou o estoque de IPv4, passa a ser muito importante migrar”, disse ele, em entrevista durante a Futurecom 2014.

Microsoft disponibiliza código-fonte do MS-DOS e do Word para o público

Publicado em: 27/10/2014 às 13:48 | leituras |

No mês de março de 2014, a Microsoft anunciou que tirou o pó do código-fonte para das primeiras versões do MS-DOS e do Word para Windows e o abriu para o público. Com a ajuda do Computer History Museum, disponibilizamos esses códigos para o público pela primeira vez.

Apache CloudStack versão 4.4.1 acaba de ser lançado

Publicado em: 22/10/2014 às 15:29 | leituras |

Plataforma de software de computação em nuvem em código aberto oferece maior eficiência e performance.

CEO da Microsoft, Satya Nadella, diz que ama o Linux

Publicado em: 22/10/2014 às 13:05 | leituras |

Satya Nadella ainda declarou que 20% da estrutura do Azure, serviço de nuvem da Microsoft, já é baseado no Linux.

Bancos veem Apple e Google como ameaça crescente no mercado

Publicado em: 17/10/2014 às 14:56 | leituras |

Segundo pesquisa, cerca de um quarto dos banqueiros entrevistados enxergam empresas não tradicionais de tecnologia como seus maiores rivais no momento.

Hackers ameaçam vazar 7 milhões de senhas do Dropbox

Publicado em: 17/10/2014 às 11:21 | leituras |

Criminoso libera pacotes com dados de centenas de contas e pede bitcoins para publicar mais informações.

Aliança Microsoft-SUSE: interoperabilidade para mais de 1000 clientes

Publicado em: 16/10/2014 às 16:04 | leituras |

Alfonso Castro, Diretor de Parcerias Estratégicas do Open Solutions Group da Microsoft, fala sobre a aliança entre SUSE e Microsoft em busca de melhorias na interoperabilidade de sistemas Windows-Linux.

Impressora 3D em MG usada para reconstruir rosto encarregado de obras

Publicado em: 16/10/2014 às 14:20 | leituras |

Após ter perdido o nariz, os lábios e parte do queixo por conta de um câncer na boca, o rosto do encarregado de obras Marcio Palhares, 56, foi reconstituído a partir de um método que utiliza impressora 3D, na UFJF (Universidade Federal de Juiz de Fora), em Juiz de Fora (278 km de Belo Horizonte), Minas Gerais.

Dropbox enfrenta problemas e apaga arquivos de internautas

Publicado em: 15/10/2014 às 16:35 | leituras |

O Dropbox enfrentou problemas no último fim de semana e alguns arquivos de usuários foram apagados. A instabilidade afetou somente versões mais antigas do software do serviço para computadores.

Falha ameaça todas as versões do Windows desde o Vista

Publicado em: 15/10/2014 às 11:54 | leituras |

Vulnerabilidade foi usada por criminosos em ataques contra Otan, governos europeus e companhias de energia e telecomunicações.

Adolescentes veem futuro na programação

Publicado em: 15/10/2014 às 10:46 | leituras |

No dia 7, a Microsoft promoveu oficinas com 300 alunos de colégios públicos e privados de São Paulo para incentivar o estudo da programação. A iniciativa faz farte da campanha "Eu Posso Programar", que pretende ensinar noções básicas a mais de um milhão de jovens na América Latina.

Netflix chega ao Linux

Publicado em: 15/10/2014 às 8:52 | leituras |

A Netflix enfim está disponível para usuários do Linux que usem Ubuntu e o navegador Chrome a partir da versão 37.

Google implementa caixa de buscas para Pirate Bay

Publicado em: 14/10/2014 às 15:57 | leituras |

O Google acaba de tomar um passo que promete irritar organizações que defendem estúdios de Hollywood, como a RIAA e a MPAA.

InterCon 2014 já tem data marcada: 15 de novembro

Publicado em: 14/10/2014 às 11:21 | leituras |

As inscrições para o InterCon 2014 já estão abertas e são limitadas.


Mais notícias


lançamento!

LM 115 | Invasão




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 224571 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 128200 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 115400 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 108146 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 85986 leituras

  1. Conheça as novidades do QEMU 1.2.0

    Publicado em 10/09/2012 às 0:23 | 4317 leituras

  1. Alan Cox sobre a inclusão do ZFS no Linux

    Publicado em 10/08/2008 às 18:58 | 5249 leituras

  1. Holandês de 16 anos é preso por ataques a sites de cartões de crédito

    Publicado em 13/12/2010 às 10:31 | 4203 leituras

  1. SUSE Recebe Certificações de Segurança Common Criteria

    Publicado em 27/03/2013 às 11:53 | 4464 leituras

  1. Falha no Wordpress.com facilita que contas sejam hackeadas

    Publicado em 29/05/2014 às 16:41 | 1981 leituras

whitepapers

mais whitepapers