A coisa a tempos não anda muito boa para o nosso amigo OpenSSL. Aliás, tão ruim que o pessoal do OpenBSD a algum tempo resolveu fazer seu fork do mesmo e se virar por lá.
Mas como ele ainda é o mais utilizado no mundo e base da maioria das conexões seguras que temos em todo o mundo, saber dos bugs e falhas de segurança que estão contidas no mesmo é obrigação de qualquer Administrador de Sistemas. E, lá vamos nós, com dois dias de atraso ( porque o blog está sendo reativado agora e inclusive, temos nosso bot no telegram ) mas informação é informação e ela deve ser difundida.
O pessoal do projeto OpenSSL publicou mais 4 avisos de segurança, mas, pelo menos desta vez, nenhum deles é crítico. São 3 de gravidade moderada e um deles é baixo.
Uma delas é sobre o BN_mod_exp que está gerando resultados incorretos nos x86_64 , um crash na verificação de certificado com a falta do parâmetro PSS, um vazamento de memória no X509_ATTRIBUTE.
O aviso de segurança que tem prioridade baixa é um race condition na manipulação da indentificação do PSK.
Evidentemente que se você usa uma distribuição série e seu administrador de sistemas é competente ele já fez a atualização do seu sistema operacional para que toda a sua infraestruttura SSL esteja realmente protegida.
Não observei se já há algum exploit publicado para este fim, mas … evidentemente que isto não deve demorar.
A indicação como sempre é que você faça a atualização dos seus sistemas operacionais o mais rápido possível procurando pelas CVEs nos sites dos fabricantes ou acompanhando o aviso publicado no site da biblioteca OpenSSL.