Há um novo bug que vem causar dores de cabeça em todos os que pensavam ter sites seguros. O chamado Heartbleed bug afeta o OpenSSL, e torna-se num vetor de risco preocupante que permite não só interceptar o conteúdo das comunicações “seguras” como as próprias chaves SSL.

Já se sabe que é possível fazer-se uma comunicação segura utilizando canais potencialmente inseguros, e na grande maioria dos casos esse sistema usa o OpenSSL. O que se passa é que existe este bug “Heartbleed” que afeta as versões 1.0.1 e 1.0.2 beta do OpenSSL e que transforma essas ligações supostamente seguras em ligações altamente vulneráveis e que colocam utilizadores e os próprios servidores em risco.

Esta falha permite que um atacante consiga descodificar as mensagens seguras enviadas entre usuários e servidores que usem estas versões do software, e também recuperar as chaves primárias e secundárias do SSL, algo que por si só até fará arrepiar qualquer administrador de sistemas. Dentro da gravidade do problema, a única boa notícia é a de que este bug se deve a uma falha na programação destas versões e não devido a uma falha implícita do sistema SSL – o que faz com que o problema seja de fácil resolução, passando-se a utilizar uma versão do OpenSSL corrigida (1.0.1g, e brevemente numa nova versão beta). Também a Red Hat, Debian, SuSE, Canonical, Oracle e outros, estão também a trabalhar a ritmo acelerado para garantir que estas correcções chegam a todos os seus clientes e usuários.

Se têm algum sistema a vosso cargo que utilize uma destas versões do OpenSSL, é de importância crítica que tratem do problema quanto antes.

Com informações de Aberto até de Madrugada.