Atualização de Segurança do OpenSSL Importante: CVE-2014-0160 (Heartbleed)
Uma falha de divulgação de informações foi encontrada na forma com a qual o OpenSSL manipulou com os pacotes do Heartbeat Extention de segurança da camada de transporte do datagrama (DTLS) e segurança de camada de transporte (TLS). Esta falha é referida geralmente como erro do Heartbleed.
Um cliente ou servidor malicioso de TLS ou DTLS podia enviar um pacote do TLS ou DTLS Heartbeat produzido especialmente para divulgar uma porção limitada de memória por requisição de um cliente ou servidor conectado. Note que as porções divulgadas de memória podiam incluir informações delicadas como as chaves privadas. (CVE-2014-0160)
Este problema não afetou as versões do openssl, distribuídas com o Red Hat Enterprise Linux 5 e Red Hat Enterprise Linux 6.4 e versões anteriores a esta. Este problema afeta o Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5, e Red Hat Storage 2.1, que forneciam o openssl 1.0.1e.
- Para obter mais informações sobre este defeito no Red Hat Enterprise Linux, por favor consulte https://access.redhat.com/site/solutions/781793.
- Para mais informações sobre como resolver este defeito no Red Hat Enterprise Virtualization Hypervisor, veja https://access.redhat.com/site/solutions/781843.
- Para mais informações sobre como resolver este defeito no Red Hat Storage, veja https://access.redhat.com/site/solutions/782053.
Depois de atualizar seus sistemas, você pode utilizar o Red Hat's Heartbleed Detector para validar seus sistemas assegurados. A Red Hat realmente sugere que os clientes substituam as chaves SSL nos sistemas que estiverem expostos à uma vulnerabilidade, pois já foi provado, em alguns relatórios fornecidos pela comunidade de pesquisa sobre segurança, que pode ocorrer roubo de chaves em sistemas vulneráveis. Para obter mais informações, por favor leia Recovering from the Heartbleed Vulnerability
Response Timeline (Resposta da Linha do Tempo)
Por favor, veja a versão em Inglês deste anúncio para a resposta da linha do tempo.
Notificação sobre a Vulnerabilidade do Red Hat Website
No dia 7 de Abril de 2014, o Projeto OpenSSL lançou uma atualização para lidar com a vulnerabilidade, identificada pelo CVE-2014-0160 (mais conhecido como "Heartbleed").
A Red Hat leva o fator de segurança a sério. Os Websites da Red Hat a seguir, os quais transmitem dados de clientes, não dependiam de uma biblioteca de OpenSSL vulnerável para a comunicação de SSL/TLS e não foram afetados pela vulnerabilidade do "Heartbleed":
- www.redhat.com
- access.redhat.com (Red Hat Customer Portal)
- rhn.redhat.com (Red Hat Network)
