GnuTLS: bug crítico de criptografia deixa várias distribuições e aplicativos vulneráveis há anos
Mera coincidência ou indicativo de algo mais funesto?
Não faz nem um mês que foi exposto o bug conhecido como "GOTO FAIL" que tornou monitoráveis (por quem soubesse da falha) as conexões criptografadas e autenticadas via SSL/TLS – aquelas do "cadeado fechado" no navegador, entre outros usos – dos usuários de iOS e OS X, e agora um bug com as mesmas características (falha no tratamento de erros que permite que um certificado identificado como inválido seja aceito como se não fosse, e que ocorre em código cujo código-fonte pode ser livremente consultado/auditado) apareceu no GnuTLS.
GnuTLS é a implementação do projeto GNU para os protocolos SSL e TLS, usados em programas que permitem conexões criptografadas e autenticadas, como o Apache, vários utilitários de mensagens instantâneas, clientes e servidores de e-mail, navegadores e vários outros.
Existe outra implementação open source dos mesmos protocolos: o OpenSSL – que até o momento não teve bug similar revelado nesta temporada.
Se você tem o GnuTLS instalado, possivelmente pode usar o gerenciador de pacotes da sua distribuição para ver quais aplicativos e subsistemas do seu computador podem fazer uso dele, e aí considerar eventuais riscos decorrentes de comunicações criptografadas (com uso de certificados por alguma das partes) realizadas com eles nos últimos anos, além de seguir imediatamente a recomendação de upgrade dos autores do software. (via arstechnica.com - “Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping | Ars Technica”)
Comentar
comments powered by DisqusComentários arquivados