On Qui, 2014-04-10 at 14:20 -0300, Welkson Renny de Medeiros wrote: > Em 10 de abril de 2014 13:36, Welkson Renny de Medeiros > <welk...@gmail.com>escreveu: > > > Em 10 de abril de 2014 12:57, Enrique Fynn <enriquef...@gmail.com>escreveu: > > > > Atenção especial aos servidores rodando FreeBSD, foram os únicos que > >> um atacante conseguiu extrair a chave privada do ssl pelo bug. A fonte > >> não é das mais confiáveis (Twitter) [0], mas não vejo razão para que > >> não seja verdadeira. > >> > >> Já vi que em sistemas linux ninguém conseguiu de fato extrair a chave > >> [1], no freeBSD a chave deve ficar na memória que vaza com o bug mais > >> frequentemente =/ > >> > >> > >> [0] https://twitter.com/1njected/status/453781230593769472 > >> [1] > >> http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html > >> > >> Peace; > >> Fynn. > >> > > > > > > > > Aproveitando o gancho, lembrei do pfSense que usa HTTPS no WebGUI... > > No fórum internacional do pfSense a galera está dizendo que várias versões > do pfSense estão vulneráveis... eu testei alguns usando esse site [1], e o > resultado me mostra o contrário. > > Acredito que o openssl do pfSense apesar de ser um build vulnerável, foi > compilado sem heartbleed. Alguém confirma? > > [1] http://rehmann.co/projects/heartbeat/
O pfSense 2.1 e 2.1.1 estão vulneráveis, não apenas o https mas também o openvpn e alguns outros serviços que estão linkados com o openssl do ports na versão 1.0.1f. No caso do https, normalmente ele não fica (ou pelo menos não deveria ficar) aberto pra WAN, o que ajuda a mitigar os riscos. A versão 2.1.2 do pfSense está nos finalmentes dos testes e será lançada logo logo. -- Renato Botelho ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
