logoCert_sugestao2.png

Autor: CAIS - Data: 12/09/2006


O CAIS está repassando o alerta da Secunia, intitulado "OpenSSL RSA Signature Forgery Vulnerability", que trata de uma vulnerabilidade descoberta na biblioteca OpenSSL. O OpenSSL é uma biblioteca que provê funções de criptografia e ICP, muito utilizada em softwares e serviços na Internet, incluindo servidores Web e VPN.

A vulnerabilidade esta' presente nas assinaturas PKCS #1 1.5, tornando possível a falsificação de assinaturas caso uma chave RSA com expoente 3 seja utilizada. Existem atualmente diversas autoridades certificadoras utilizando chaves RSA com expoente 3, e o PKCS #1 1.5 e' utilizado nos certificados X.509, o que torna todas as aplicações que usam OpenSSL potencialmente vulneráveis. Esta falsificação pode permitir que um certificado forjado seja identificado como verdadeiro.

Sistemas afetados:

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Mais informações:

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS tambem são oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml