Ubuntu, Debian e o OpenSSL Heartbleed exploit

Senhores, parem de achar que as distros Debian e Ubuntu continuam vulneráveis por causa da versão do OpenSSL:

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Tue Apr 8 08:49:19 UTC 2014
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Está sendo divulgado aos quatro ventos que, graças ao bug do TLS Heartbleed, a versão “segura” é a 1.0.1g e que a 1.0.1e é “bugada”. Só que isso não é verdade… Dêem uma olhada no changelog do openssl, depois de atualizado:

$ zcat /usr/share/doc/openssl/changelog.Debian.gz | head -n 20
openssl (1.0.1e-2+deb7u6) wheezy-security; urgency=high
* Non-maintainer upload by the Security Team.
* Enable checking for services that may need to be restarted
* Update list of services to possibly restart
-- Salvatore Bonaccorso <carnil@debian.org> Tue, 08 Apr 2014 10:44:53 +0200

openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high
* Non-maintainer upload by the Security Team.
* Add CVE-2014-0160.patch patch.
  CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.
  A missing bounds check in the handling of the TLS heartbeat extension
  can be used to reveal up to 64k of memory to a connected client or
  server.
-- Salvatore Bonaccorso <carnil@debian.org> Mon, 07 Apr 2014 22:26:55 +0200

Viram só? A versão atual é 1.0.1e-2+deb7u6 e o openssl não está bugado!!

Aliás, fica a dica: Sempre que atualizar pacotes, dêem uma olhada em /usr/share/doc/pacote/changelog*. No Debian e Ubuntu o changelog está gzipado. No RedHat, em texto plano:

$ cat /etc/redhat-release
Red Hat Enterprise Linux Server release 6.5 (Santiago)
$ ls -l /usr/share/doc/openssl-1.0.1e/
total 884
-rw-r--r-- 1 root root 435662 Feb 11 2013 CHANGES
-rw-r--r-- 1 root root 1639   Feb 11 2013 c-indentation.el
-rw-r--r-- 1 root root 46614  Feb 11 2013 FAQ
-rw-r--r-- 1 root root 14650  Feb 11 2013 INSTALL
-rw-r--r-- 1 root root 6279   Feb 11 2013 LICENSE
-rw-r--r-- 1 root root 27423  Feb 11 2013 NEWS
-rw-r--r-- 1 root root 2063   Feb 11 2013 openssl_button.gif
-rw-r--r-- 1 root root 239    Feb 11 2013 openssl_button.html
-rw-r--r-- 1 root root 46645  Feb 11 2013 openssl.txt
-rw-r--r-- 1 root root 10679  Apr 7 08:29 README
-rw-r--r-- 1 root root 2882   Apr 7 08:32 README.FIPS
-rw-r--r-- 1 root root 283130 Feb 11 2013 ssleay.txt

Se bem que o lobo mau deve não ter deixado a chapeuzinho vermelho atualizar o changelog!

Anúncios

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s