Jump to content
Rui Carlos

The Heartbleed Bug

Recommended Posts

Rui Carlos

Foi recentemente descoberto um bug grave na implementação do SSL/TLS no OpenSSL que pode comprometer gravemente a segurança do mesmo, ao ponto de haver a possibilidade de se aceder remotamente a dados sensíveis, como as chaves privadas de servidores que usam as bibliotecas afectadas.

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

[...]

In: http://heartbleed.com

Mais detalhes:

https://www.cert.fi/en/reports/2014/vulnerability788210.html

http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

Share this post


Link to post
Share on other sites
taviroquai

Então basicamente existem um tamanho de dados a pedido do cliente que não é verificado e, como se está a trabalhar com ponteiros, todos os dados o que vierem a seguir é devolvido ao cliente, sem verificar o tamanho limite a devolver. Incrível como um erro destes pode acontecer num software de tamanha dimensão como o OpenSSL...

Corrijam-me se estiver enganado já estou ferrugento em C...

Edited by taviroquai

Share this post


Link to post
Share on other sites
KTachyon

É o poder do open source :)


“There are two ways of constructing a software design: One way is to make it so simple that there are obviously no deficiencies, and the other way is to make it so complicated that there are no obvious deficiencies. The first method is far more difficult.”

-- Tony Hoare

Share this post


Link to post
Share on other sites
taviroquai

Não estou bem a ver a relação com o open source... Vejo mais depressa uma relação com a linguagem usada.

Concordo. Um bug deste tipo obviamente também pode acontecer em software proprietário... (chega de ataques ao OSS)...

Penso que a linguagem também oferece outras formas de fazer isto sem usar um ponteiro...

Share this post


Link to post
Share on other sites
thoga31

É o poder do open source :)

Não entendi...

Falhas destas não são um exclusivo de Open Source. Grandes falhas já aconteceram na Microsoft, na Apple, etc etc. É fazer uma breve pesquisa na net e falhas épicas não faltam.

A não ser que te afirmes que o closed source provém dos Deuses, os únicos seres perfeitos cuja existência a Ciência ainda não provou.

Edited by thoga31

Knowledge is free!

Share this post


Link to post
Share on other sites
nelsonr

Não encontrei informação, mas provavelmente por ser open source é que descobriram o bug (verificando o código).

Mas vejo "É o poder do open source" como comentário positivo (não sei se foi essa a intenção)

Share this post


Link to post
Share on other sites
HappyHippyHippo

pelo incrível que pareça, acho que foi o único que percebeu o post do @KTachyon, e ainda mais incrível (se for esse o caso) concordar com ele ...

presumo que a intenção seria mostrar que o open source tem a vantagem de que este tipo de problemas são mais facilmente descobertos e resolvidos do que o closed source.

  • Vote 2

IRC : sim, é algo que ainda existe >> #p@p

Share this post


Link to post
Share on other sites
thoga31

O problema com um post daqueles é que é vago e dá aso a muitas interpretações.

E tendo em conta o historial de conversas no fórum, as interpretações ainda se tornam mais difusas e tendenciais.


Knowledge is free!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.