Isso certamente impacta a sua organização...
Uma vulnerabilidade crítica foi descoberta nas versões atuais do OpenSSL e precisará ser corrigida imediatamente. O Projeto OpenSSL lançará a versão 3.0.7 na terça-feira, 1º de novembro de 2022. Esta é uma atualização crítica que precisa ser feita imediatamente.
Para facilitar sua compreensão, o OpenSSL é uma biblioteca de software que é amplamente utilizada para permitir conexões seguras de rede. E por ser amplamente utilizada, provavelmente, se você está usando HTTPS, você deve estar usando OpenSSL. Quase todos estão.
Então, isso é algo que quase todos precisam estar cientes.
O OpenSSL é desenvolvido pelo Projeto OpenSSL, que informou nesta quarta-feira, dia 26 de outubro, que estava lançando uma correção para uma vulnerabilidade crítica na terça-feira, dia 1º de novembro de 2022.
Veja como o Projeto OpenSSL define uma vulnerabilidade crítica:
"GRAVIDADE CRÍTICA. Isso afeta configurações comuns e que também são susceptíveis de serem exploráveis. Exemplos incluem divulgação significativa do conteúdo da memória do servidor (potencialmente revelando detalhes do usuário), vulnerabilidades que podem ser facilmente exploradas remotamente para comprometer chaves privadas do servidor ou onde a execução remota de código é considerada provável em situações comuns. Esses problemas serão mantidos em sigilo e desencadearão uma nova versão de todas as versões suportadas. Tentaremos resolver isso o mais rápido possível."
Como é bastante comum nessas situações de segurança, as especificidades não estão disponíveis sobre qual é a ameaça exata ou onde a fraqueza pode estar porque eles estão tentando evitar a derrubada por oportunistas que poderiam explorar a vulnerabilidade antes de ela ser corrigida.
E o objetivo desta notificação não é desencadear pânico, não adianta entrar em pânico – isso só requer vigilância.
Certifique-se de que os responsáveis corretos em sua organização estejam cientes dessa vulnerabilidade, de sua gravidade potencial e da nova versão do OpenSSL (3.0.7) que chegará em 1º de novembro.
Se você é o responsável, você precisa verificar se você está realmente usando OpenSSL e qual a versão que você está usando. Aqui está a nuance, isso afeta a versão três, então se você está executando 3.0.6 ou anteriores (não divulgue) você vai precisar corrigir isso imediatamente.
Já você que está usando a versão 1.1.1, essa vulnerabilidade não te afeta, mas há uma atualização 1.1.1 chegando na terça-feira também, versão 1.1.1s, que você vai precisar atualizar de qualquer maneira, então recomendamos que você reserve um horário na terça para estas atualizações.
Infelizmente, não é possível precisar quanto tempo será necessário para esta atualização, não é uma informação já divulgada pelo Projeto OpenSSL. Independentemente disso, terça-feira será um dia importante, já que quanto mais tempo passar antes de atualizar, mais tempo sua rede estará potencialmente vulnerável.
A GlobalSign tem orgulho de ser seu parceiro digital confiável, estamos monitorando de perto essa situação e continuaremos fornecendo atualizações no blog e via comunicação direta com o cliente (e-mail) se qualquer ação adicional for necessária.