[FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL "Heartbleed" bug]

Welkson Renny de Medeiros welkson em gmail.com
Quinta Abril 10 14:20:00 BRT 2014


Em 10 de abril de 2014 13:36, Welkson Renny de Medeiros
<welkson em gmail.com>escreveu:

> Em 10 de abril de 2014 12:57, Enrique Fynn <enriquefynn em gmail.com>escreveu:
>
> Atenção especial aos servidores rodando FreeBSD, foram os únicos que
>> um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte
>> não é das mais confiáveis (Twitter) [0], mas não vejo razão para que
>> não seja verdadeira.
>>
>> Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave
>> [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais
>> frequentemente =/
>>
>>
>> [0] https://twitter.com/1njected/status/453781230593769472
>> [1]
>> http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
>>
>> Peace;
>> Fynn.
>>
>
>
>

Aproveitando o gancho, lembrei do pfSense que usa HTTPS no WebGUI...

No fórum internacional do pfSense a galera está dizendo que várias versões
do pfSense estão vulneráveis... eu testei alguns usando esse site [1], e o
resultado me mostra o contrário.

Acredito que o openssl do pfSense apesar de ser um build vulnerável, foi
compilado sem heartbleed. Alguém confirma?

[1] http://rehmann.co/projects/heartbeat/

Welkson


Mais detalhes sobre a lista de discussão freebsd