Nova versão do OpenSSL resolve falhas de segurança no interpretado ASN1

Publicado em 24/04/2012 às 15:35 | 4478 leituras

Falha detectada por engenheiro do Google já foi corrigida, contudo não se sabe a relevância da falha ou suas potenciais consequências.


Versão para impressão Enviar por email


SSLTavis Ormandy do Google Security Team notificou os desenvolvedores do OpenSSL de uma falha de segurança na versão atual de sua biblioteca em código aberto. Os erros aconteciam quando interpretando dados ASN1 através da função asn1_d2i_read_bio(). De acordo com a recomendação oficial da OpenSSL e com a mensagem de Ormandy, o problema afeta aplicativos que processam certificados X.509 externos ou chaves RSA públicas. Contudo, a informação restante sobre os aplicativos que são afetados, e as consequências em potencial, são um pouco criptícas.


Os desenvolvedores do OpenSSL lançaram as versão 1.0.1a, 1.0.0i e 0.9.8v para resolver o problema "ASN1 BIO" mas as recomendações não afirmam se essa atualização é urgente. A equipe do OpenSSL falou sobre uma "vulnerabilidade potencialmente explorável" e Ormandy ofereceu mais detalhes ao dizer que o problema "pode causar corrupção de memória", mas nenhum afirmou qualquer coisa sobre suas potenciais consequências. O escopo total do problema deve provavelmente ser completamente revelado uma vez que o módulo Metasploit for lançado.


O próprio servidor SSH do projeto OpenSSH não foi afetado. Damien Miller comentou que o sshd verifica chaves RSA com a função personalizada openssh_RSA_verify() que, de acordo com Miller, já ajudou a evitar oito falhas exploráveis no interpretador ASN1. Os pacotes corrigidos do OpenSSL para Ubuntu e OpenBSD já foram disponibilizados. Correções para o Red Hat Enterprise Linux e Fedora estão a caminho.


Fonte: h-online, em inglês.

Comentários


Outras notícias

Mulheres X homens no mercado de TI

Publicado em: 30/07/2014 às 12:04 | leituras |

Para qualquer um que considere uma carreira em TI, caminhos e oportunidades de emprego são abundantes. No entanto, as mulheres só contam com 24% das ocupações.

Easy Taxi recebe aporte de R$ 90 milhões

Publicado em: 29/07/2014 às 9:45 | leituras |

O aplicativo de taxis Easy Taxi recebeu aporte de R$ 90 milhões de reais de dois grupos de investimento em companhias de tecnologia iniciantes, elevando o total de injeção de recursos na empresa brasileira lançada em 2012, a R$ 145 milhões.

Startups podem ganhar até R$ 1 milhão em Concurso

Publicado em: 28/07/2014 às 12:05 | leituras |

O concurso será realizado por meio da parceria entre Confederação Nacional dos Jovens Empresários (Conaje), Anjos do Brasil, ABStartups e Brazil Innovators.

Governo usa análise de dados no combate à lavagem de dinheiro

Publicado em: 28/07/2014 às 9:53 | leituras |

Foi assinado nesta quarta-feira, 23/07, o acordo de cooperação entre Ministério da Justiça e o Ministério Público Federal (MPF) para viabilizar a instalação da 43ª unidade da Rede Nacional de Laboratórios contra Lavagem de Dinheiro (REDE-LAB) na Procuradoria-Geral da República, em Brasília.

No Brasil, maioria das empresas não tem documentação original dos mainframes

Publicado em: 28/07/2014 às 9:28 | leituras |

A maioria dos líderes de TI reconhece que o conhecimento original sobre seus aplicativos de mainframe e da estrutura de suporte de dados não pode ser recuperado nos arquivos de suas respectivas organizações. Um levantamento global mostrou que 55% dos líderes em TI têm essa percepção.

Empresa de segurança cria portal baseado em rede neural

Publicado em: 25/07/2014 às 10:32 | leituras |

A PSafe Tecnologia SA, empresa de segurança digital em nuvem, anunciou o lançamento do mais novo portal de Internet com conteúdo personalizável de acordo com a navegação de cada usuário.

Relatório faz previsões 'sombrias' sobre futuro da internet

Publicado em: 24/07/2014 às 11:45 | leituras |

Diferentes estudiosos têm feito previsões para compreender como será a internet no futuro, mas muitas acabam influenciadas principalmente pelo momento em que vivemos.

Bug em produtos da Cisco permite acesso remoto de invasores

Publicado em: 18/07/2014 às 9:15 | leituras |

Foi identificado um bug de segurança em gateways de rede residencial da Cisco que permite o acesso aos dispositivos remotamente e o sequestro deles. Uma atualização de firmware foi lançada para ISPs visando corrigir a vulnerabilidade.

Dois brasileiros estão em Comitê que vai definir futuro da Internet

Publicado em: 17/07/2014 às 11:04 | leituras |

Passado o evento NetMundial, agora, representantes de grupos setoriais trabalham juntos para formar comitê que vai elaborar uma proposta para nortear a migração dos trabalhos da Iana, sigla em inglês para Autoridade para Designação de Números da Internet, para, ao que tudo indica, uma entidade multissetorial.

Lei de Informática é prorrogada até 2029

Publicado em: 17/07/2014 às 9:27 | leituras |

O Plenário do Senado aprovou nesta quarta-feira, 16/07, o projeto (PLC 61/2014) que prorroga o prazo dos benefícios garantidos ao setor de informática pela Lei 8.248/1991, a Lei de Informática.

Em nome da segurança, 'NSA alemã' voltará a usar máquinas de escrever

Publicado em: 16/07/2014 às 14:37 | leituras |

A piada parece estar prestes a se tornar literal também na Alemanha. Patrick Sensburg, diretor de um grupo do parlamento alemão responsável por investigar o escândalo de espionagem da NSA, afirmou que a equipe pode voltar a usar máquinas de escrever como forma de evitar o vazamento de informação, seja por meio de vigilância digital de governos ou ataques hackers.

Ataques DDoS estão mais fáceis de executar, afirma Akamai

Publicado em: 16/07/2014 às 11:48 | leituras |

A empresa constatou aumento de 47% no 1º trimestre de 2014, em relação a igual período do ano passado e de 18% em relação ao trimetres anterior.

Líder em IPv4, Brasil fica para trás na adoção do IPv6

Publicado em: 16/07/2014 às 10:28 | leituras |

O Brasil liderou o crescimento de adoção de IPv4 no primeiro trimestre deste ano, com aumento de 12% - o que significa mais de 4 milhões de novos endereços - de acordo com o estudo State of The Internet,da Akamai.

Como será a rede SDN na América Latina?

Publicado em: 15/07/2014 às 12:35 | leituras |

À primeira vista, muito pouco parece estar claro sobre as Redes Definidas por Software (SDN, na sigla em inglês). Dependendo de para quem a pergunta é direcionada, haverá diversas explicações diferentes.

Amazon contrata cientista do Google responsável pelo Google Glass

Publicado em: 14/07/2014 às 12:33 | leituras |

Um dos funcionários mais inovadores do Google está deixando a empresa. De acordo com o site The Verge, o cientista iraniano-americano Babak Parviz, responsável por fundar e liderar o projeto Google X – que deu origem aos óculos de realidade aumentada Google Glass –, trocou a gigante das buscas pela Amazon.

Positivo Informática anuncia sua primeira linha de notebooks híbridos

Publicado em: 11/07/2014 às 12:50 | leituras |

O primeiro produto a chegar ao varejo, nesta semana, é o conversível ultraportátil Positivo Duo ZK3010, com tela touch de 10,1 polegadas.

Nova tecnologia atinge velocidade de 10 Gbps usando fios de cobre convencionais

Publicado em: 11/07/2014 às 12:12 | leituras |

Engenheiros de telecomunicações da Bell Labs conseguiram atingir uma taxa de 10 gigabits por segundo utilizando fios de cobre.

Gianugo Rabellino do MS OpenTech fala sobre Gestão de Projetos Open Source na Microsoft

Publicado em: 11/07/2014 às 10:40 | leituras |

Gianugo Rabellino é diretor sênior das comunidades de código aberto da Microsoft Open Technologies, uma subsidiária da Microsoft Corporation que está comprometida em antecipar o compromisso da Microsoft com a abertura de código em toda a empresa e em toda a indústria.

STJ lança cartilha sobre segurança da informação

Publicado em: 08/07/2014 às 9:40 | leituras |

O Superior Tribunal de Justiça (STJ) lançou no dia 25/06, uma Cartilha de Segurança da Informação, uma iniciativa da Coordenadoria de Auditoria de Tecnologia da Informação (Caut) da Secretaria de Controle Interno (SCI) em parceria com o Conselho da Justiça Federal.

Fábrica da Samsung em SP é assaltada e prejuízo pode chegar a R$ 80 milhões

Publicado em: 08/07/2014 às 8:05 | leituras |

Um roubo milionário aconteceu na madrugada desta segunda-feira (7) na fábrica da Samsung, localizada na cidade de Campinas, em São Paulo.

Megafraude bancária tem como alvo o correntista brasileiro

Publicado em: 07/07/2014 às 13:43 | leituras |

Uma megafraude bancária tem como o alvo os correntistas brasileiras. Especialistas da RSA, empresa de segurança da EMC, relataram nesta quarta-feira, 02/07, ao jornal New York Times, a existência de uma operação conduzida por hackers que podem estar envolvidos ao crime organizado no Brasil.

Criminosos virtuais podem ter desviado bilhões de sistema brasileiro de pagamentos

Publicado em: 07/07/2014 às 13:05 | leituras |

Cibercriminosos podem ter desviado bilhões de dólares de um popular sistema brasileiro de pagamentos online, utilizando um programa malicioso que direciona recursos a contas controladas por fraudadores, segundo um relatório de pesquisa.

Simpress abre 98 vagas em TI

Publicado em: 07/07/2014 às 11:14 | leituras |

A Simpress, fornecedora de outsourcing de impressão e gestão de documentos, abriu 98 vagas de trabalho efetivas no País. As oportunidades são para as filiais localizadas nos estados da Bahia, Distrito Federal, Minas Gerais, Paraná, Rio de Janeiro e São Paulo nas áreas Técnica e Comercial.

Empresa cria aplicativo para levar Internet para quem não pode usar as mãos

Publicado em: 07/07/2014 às 10:10 | leituras |

Levar tecnologia para deficientes não é tarefa simples e poucas organizações conseguem atender as obrigações regulatórias para a inclusão dessas pessoas no ambiente de trabalho.

Apps bancários, no Android, estão sob ataque

Publicado em: 03/07/2014 às 9:52 | leituras |

A FireEye adverte para a descoberta de um malware para Android que junta em um só pacote várias funcionalidades para roubar credenciais do aparelho, ler e enviar SMS, lista de contatos, iniciar atualizações maliciosas, procurar apps bancários e substituí-los por falsos e ainda desabilitar as funcionalidades de antivírus.


Mais notícias


lançamento!

LM 112 | Recuperação de dados




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 204374 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 119399 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 109474 leituras

  1. Lançado o phpBB 3

    Publicado em 13/12/2007 às 18:42 | 101638 leituras

  1. TeamViewer disponível para Linux

    Publicado em 26/04/2010 às 1:27 | 80812 leituras

  1. Gerencie seus projetos com o ProjectForge

    Publicado em 20/04/2012 às 12:00 | 5134 leituras

  1. Sistema de monitoramento RHQ 4.2 lançado

    Publicado em 03/11/2011 às 11:35 | 6450 leituras

  1. Android agora aceita mais comandos de voz e redige textos ditados

    Publicado em 17/08/2010 às 12:46 | 5863 leituras

  1. IBM Brasil realiza painel interativo online sobre Cloud Computing

    Publicado em 03/12/2012 às 8:23 | 4250 leituras

  1. HP apresenta data center verde

    Publicado em 08/06/2012 às 17:47 | 4066 leituras

whitepapers

mais whitepapers