As correções de bugs do OpenSSL já haviam sido anunciadas desde a semana passada
Em 25 de outubro de 2022, o projeto OpenSSL anunciou uma próxima versão do OpenSSL (versão 3.0.7) para solucionar uma vulnerabilidade crítica de segurança. Já era esperado que essa versão fosse lançada na terça-feira, 1º de novembro de 2022, entre 13:00 e 17:00 UTC. A última vulnerabilidade crítica no OpenSSL ocorreu em 2016
A Trustcert alerta para quem estiver usando o OpenSSL 3.0 ou superior, atualize imediatamente para a versão 3.0.7 divulgada hoje, terça-feira, 1º de novembro de 2022, a fim de evitar uma possível violação.
O OpenSSL é uma biblioteca de código comumente usada e projetada para permitir comunicação segura pela Internet. Simplificando, sempre que navegamos na Internet, o site ou o serviço online que acessamos utiliza OpenSSL em seu nível básico. Portanto, a magnitude potencial dessa vulnerabilidade é enorme, por isso a urgência de corrigir e atualizar os sistemas.
As versões vulneráveis do OpenSSL (3.0 e superior) são usadas atualmente em sistemas operacionais Linux, incluindo Ubuntu 22.04 LTS, MacOS Ventura, Fedora 36 e outros.
No entanto, distribuições Linux como o Debian incluem apenas o OpenSSL 3.x em suas versões mais recentes, que ainda são consideradas versões de teste e, portanto, o uso generalizado em sistemas de produção pode ser limitado.
Imagens de contêiner criadas usando versões afetadas do Linux também serão afetadas. No entanto, vale a pena notar que muitas imagens oficiais do Docker populares usam Debian Bullseye (11) e Alpine, que ainda usam OpenSSL 1.xe não são afetados. As imagens de contêiner oficiais do Docker para projetos como nginx e httpd, populares para lidar com tráfego da Web, também usam Bullseye e Alpine e não são afetadas.
Segundo a divulgou Checking Point em seu blog, o projeto OpenSSL, é um marco na segurança da Internet, assim, as empresas devem permanecer atentas e se prepararem para corrigir e atualizar os sistemas ainda nesta terça-feira, 1º de novembro.
Quais versões do OpenSSL estão expostas segundo a Checking Point?
As versões 3.0 e superiores do OpenSSL são as consideradas vulneráveis. Espera-se que o OpenSSL versão 3.0.7 seja o próximo lançamento e deverá incluir a correção de vulnerabilidade crítica.
O que pode ser feito até que mais detalhes sejam conhecidos?
As empresas devem permanecer atentas, corrigir e atualizar todos os sistemas para a versão mais recente e se preparar para atualizar os IPSs assim que estiverem disponíveis.
Os pesquisadores da Check Point Software estão acompanhando de perto esta situação e relatarão quaisquer desenvolvimentos futuros. No momento, recomendam que se conheça detalhadamente onde o OpenSSL é utilizado dentro da empresa, informação que pode ser obtida na lista de materiais do software (SBOM), para poder priorizar as áreas críticas.
“O recente anúncio do projeto OpenSSL de que o próximo lançamento em 1º de novembro incluiria uma correção para uma vulnerabilidade crítica, colocou a comunidade de tecnologia da Internet em alerta máximo. Vulnerabilidade crítica no OpenSSL tem o potencial de abalar as fundações da internet criptografada e a privacidade de todos nós. Este é realmente um grande problema”, adverte Lotem Finkelstein, diretor de Inteligência de Ameaças e Área de Pesquisa da Check Point Software.
O Blog finaliza dizendo que os pesquisadores da Check Point Software continuam monitorando de perto esta situação e atualizarão as novas proteções assim que os detalhes forem divulgados
Como mitigar as vulnerabilidades do OPENSSL?
A Trustcert, especializada na venda, emissão e apoio na instalação de certificados digitais para servidores web – TLS/SSL, Transport Layer Security / Secure Sockets Layer recomenda que a empresa prioritariamente tome as seguintes ações:
1- Informe os membros da equipe sobre o anúncio de vulnerabilidade e a próxima versão de segurança divulgada hoje, 1º de novembro de 2022.
2- Garantir que sua equipe está ciente do problema e da nova versão é a melhor maneira de se proteger sua empresa dessa vulnerabilidade.
3 – Avalie seus aplicativos e infraestrutura para determinar se você está usando OpenSSL 3.0 ou superior em qualquer lugar.
4 – Atualize imediatamente todas as instalações OpenSSL vulnerável.
Sobre TrustCert
O principal objetivo do lobo é proteger aqueles que estão sob sua guarda!
Sua postura inspira confiança, respeito e segurança da mesma forma que o certificado Trustcert, que com astúcia, inteligência e sociabilidade protege o seu site como um lobo faz com sua alcateia
Trustcert – O certificado SSL com tudo que você precisa, direto ao ponto!
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
OpenSSL lança patch para bug de alta gravidade que pode levar a ataques RCE
OpenSSL heartbleed | Cerca de 200 mil sites ainda estão expostos