[FUG-BR] [Fwd: [FreeBSD-Announce] HEADSUP! OpenSSL "Heartbleed" bug]
Renato Botelho
rbgarga em gmail.com
Quinta Abril 10 14:57:07 BRT 2014
On Qui, 2014-04-10 at 14:20 -0300, Welkson Renny de Medeiros wrote:
> Em 10 de abril de 2014 13:36, Welkson Renny de Medeiros
> <welkson at gmail.com>escreveu:
>
> > Em 10 de abril de 2014 12:57, Enrique Fynn <enriquefynn at gmail.com>escreveu:
> >
> > Atenção especial aos servidores rodando FreeBSD, foram os únicos que
> >> um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte
> >> não é das mais confiáveis (Twitter) [0], mas não vejo razão para que
> >> não seja verdadeira.
> >>
> >> Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave
> >> [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais
> >> frequentemente =/
> >>
> >>
> >> [0] https://twitter.com/1njected/status/453781230593769472
> >> [1]
> >> http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
> >>
> >> Peace;
> >> Fynn.
> >>
> >
> >
> >
>
> Aproveitando o gancho, lembrei do pfSense que usa HTTPS no WebGUI...
>
> No fórum internacional do pfSense a galera está dizendo que várias versões
> do pfSense estão vulneráveis... eu testei alguns usando esse site [1], e o
> resultado me mostra o contrário.
>
> Acredito que o openssl do pfSense apesar de ser um build vulnerável, foi
> compilado sem heartbleed. Alguém confirma?
>
> [1] http://rehmann.co/projects/heartbeat/
O pfSense 2.1 e 2.1.1 estão vulneráveis, não apenas o https mas também o
openvpn e alguns outros serviços que estão linkados com o openssl do
ports na versão 1.0.1f.
No caso do https, normalmente ele não fica (ou pelo menos não deveria
ficar) aberto pra WAN, o que ajuda a mitigar os riscos.
A versão 2.1.2 do pfSense está nos finalmentes dos testes e será lançada
logo logo.
--
Renato Botelho
Mais detalhes sobre a lista de discussão freebsd