A Site Blindado S/A comunica que foi identificada uma vulnerabilidade afetando todos os sites que utilizam Open SSL, biblioteca utilizada para emitir e implementar certificados nos servidores. A vulnerabilidade é chamada Heartbleed.

Quem está vulnerável?

Os principais servidores usando OpenSSL rodam em Apache e nginx, que são utilizados por 66% dos sites da Internet. Ainda existem muitos servidores de e-mail, chat e VPNs que podem estar vulneráveis. Portanto, essa é uma estimativa conservadora da porcentagem de serviços vulneráveis. (Essa falha afeta certificados emitidos por todas as Autoridades Certificadoras)

Quais versões do OpenSSL (não) estão vulneráveis?

OpenSSL 1.0.1 até 1.0.1f (inclusive) ESTÃO vulneráveis
OpenSSL 1.0.1g NÃO está vulnerável
OpenSSL 1.0.0 branch NÃO está vulnerável
OpenSSL 0.9.8 branch NÃO está vulnerável
O que a vulnerabilidade permite

Essa falha permite que as informações (supostamente protegidas e criptografadas) sejam visualizadas por terceiros. O Heartbleed compromete a secret key (que é utilizada para criptografar os dados), os nomes e senhas de usuários e o conteúdo que está sendo transferido. Em suma, todos os dados transferidos entre o site e o computador do visitante poderão ser interceptados e visualizados por invasores, sem deixar qualquer rastro da atividade.

Como corrigir a falha

(Os clientes da WAF da Site Blindado já estão protegidos contra a vulnerabilidade, mas ainda assim é recomendável realizar as correções)

Correção para servidores Ubuntu-like
Correção para servidores Red Hat Enterprise-like
Correção para servidore Amazon Linux
Preciso de mais informações!

Para mais informações, acompanhe os seguintes sites:

http://heartbleed.com/
https://www.openssl.org/news/secadv_20140407.txt
https://www.cert.fi/en/reports/2014/vulnerability788210.html