É, Heartbleed, eu não gosto de você. E parece que inclusive quem acha que está protegido porque usa produtos proprietários, calma, deixa eu tirar um pouco da sua paz.
Em comunicados oficiais tanto da Cisco quanto a Juniper admitiram que roteadores, firewalls e switches fabricados por eles também foram afetados pela falha no OpenSSL ( sim, todo mundo usa o OpenSSL como base para sua camada de criptografia, viu ? ).
A Cisco soltou um comunicado na quinta-feira passada com uma grande lista de produtos que podem ser comprometidos por esta falha de segurança. Tenha em mente que a lista não é definitiva já que há muitas investigações rolando e a cada dia temos notícias e mais notícias de produtos que apresentam problemas.
- Cisco IOS XR
- Cisco NX-OS (except MDS Switches)
- Cisco IPS
- Cisco ACE Global Site Selector Appliances (GSS)
- Cisco Webex Messenger
- Cisco Jabber client
- Cisco OnePK All-in-One VM
- Cisco ACE GSS 4400 Series Global Site Selector Appliances
- Cisco Security Manager (CSM)
- Cisco TelePresence MX Series
- Cisco TelePresence Profile Series
- Cisco TelePresence System 1100
- Cisco DCM Series 9900-Digital Content Manager
- Cisco D9034-S Encoder
- Cisco D9054 HDTV Encoder
- Cisco Video Portal
- WebEx Social
- Cisco Adaptive Security Device Manager (ASDM)
- Catalyst 6500 Series and Cisco 7600 Series Firewall Services Module (FWSM)
- Cisco Digital Media Manager
- Cisco Digital Media Players
- Cisco Edge 300 Digital Media Player
- Cisco Emergency Responder
- Cisco Internet Streamer CDS
- Cisco Enterprise Content Delivery System (ECDS)
- Cisco IP Communicator
- Cisco TelePresence Recording Server
- Cisco Network Analysis Module Software (NAM)
- Cisco Wireless Location Appliance
- CiscoWorks Wireless LAN Solution Engine (WLSE)
- Cisco Physical Access Gateways
- Cisco Physical Access Manager
- Cisco Video Surveillance Media Server Software
- Cisco Video Surveillance Operations Manager Software
- Cisco Prime Infrastructure
- Cisco Prime Network Analysis Module
- Cisco NetFlow Generation Appliance 3240
- Cisco Prime Data Center Network Manager
- Cisco Prime Analytics for SPs
- Cisco Prime Central for SPs
- Cisco Prime Provisioning for SPs
- Cisco Prime Performance Manager for SPs
- Cisco Prime Optical for SPs
- Cisco Intelligent Automation for Cloud
- Cisco Prime Network Services Controller (formerly the Cisco Virtual Network Management Center)
- Cisco Unified Business Attendant Console
- Cisco Unified Contact Center Products
- Cisco Unified Department Attendant Console
- Cisco Unified E-Mail Interaction Manager
- Cisco Unified Enterprise Attendant Console
- Cisco Unified Mobility
- Cisco Unified Operations Manager
- Cisco Unified Personal Communicator
- Cisco Unified Presence
- Cisco Unified Provisioning Manager
- Cisco Unified Quick Connect
- Cisco Unified Service Monitor
- Cisco Unified Service Statistics Manager
- Cisco Application and Content Networking System (ACNS) Software
- Cisco Wide Area Application Services (WAAS) Software
- Cisco UCS Invicta Series Solid State Systems
- Cisco NAC Server
- Cisco NAC Manager
- Cisco NAC Agent
- Cisco NAC Guest Server
A recomendação da Cisco é atualizar o firmware de todos os produtos que estejam relacionados acima.
A Juniper também emitiu um comunicado com uma lista de produtos e serviços que podem ter sido afetados pelo Heartbleed:
- Junos OS 13.3R1
- Odyssey client 5.6r5 ou superior
- SSL VPN (IVEOS) 7.4r1 ou superior, e SSL VPN (IVEOS) 8.0r1 ou superior
- UAC 4.4r1 ou superior, e UAC 5.0r1 ou superior
- Junos Pulse (Desktop) 5.0r1 ou superior, e Junos Pulse (Desktop) 4.0r5 ou superior
- Network Connect (Windows) versão 7.4R5 a 7.4R9.1 & 8.0R1 a 8.0R3.1.
- Junos Pulse (Mobile) na versão Android 4.2R1 ou superior
- Junos Pulse (Mobile) na versão iOS 4.2R1 ou superior
O porta voz da Juniper , Corey Olfert, declarou em entrevista que o problema do Heartbleed "não é com uma alavanca que a tente muda de posição. Eu não sei o quão rápido ele pode ser resolvido".
Se ele será resolvido ou não, não sabemos. Mas o grande problema de todos os que estão exprimindo opiniões sobre o Heartbleed é a incapacidade de achar a solução.
Por isto, notícias com a que o pessoal do OpenBSD está começando seus trabalhos em cima de um fork do atual OpenSSL é que nos fazem pensar que o mundo deve muito mais ao Open Source que a fabricantes como estes que estão mais perdidos que cego em tiroteio.
Fonte: CodigoFonte