Expiração do certificado de assinatura cruzada ISRG Root X1 da Lets Encrypt
O certificado de cadeia ISRG Root X1 com assinatura cruzada com IdenTrust utilizado pela Lets Encrypt irá expirar em 30/09/2024.
Novos certificados serão emitidos utilizando a própria cadeia da Lets Encrypt, sem assinatura cruzada.
Impactos
Aparelhos Android com sistema operacional versão 7.1.1 ou inferior serão afetados e passarão a exibir certificado inválido ou expirado nos navegadores, além de afetar aplicativos que utilizam estes certificados.
A Cloudflare, parceira de segurança da Neture, utiliza certificados da Lets Encrypt em sua camada de proxy. Por este motivo, a mesma está antecipando a alteração para 15/05/2024, reemitindo os certificados com a nova cadeia.
Não prevemos impactos nos serviços ou aplicações da Neture, visto que nossos ambientes operam com sistemas operacionais e softwares atualizados em versões mais recentes.
Recomendações
É recomendada validação de suas aplicações e sistemas, confirmando que não há certificados forçados (PINNED) que deixariam de funcionar na alteração da cadeia de certificados.
Para usuários operando com equipamentos em versões de Android afetadas, é recomendada a atualização do sistema operacional para versões mais recentes.
Por último, é importante validar que sua aplicação está com bibliotecas atualizadas e operando em versões mais recentes das frameworks ou virtual machines (JVM/.NET/etc), visto que estas possuem cadeias de certificados atreladas para que consigam efetuar chamadas em APIs de HTTPS,
Vulnerabilidade crítica CVE-2024-3094 – Biblioteca xz-utils
Uma nova vulnerabilidade de segurança crítica designada CVE-2024-3094 foi identificada na data de 29/03/2024.
Esta vulnerabilidade afeta uma biblioteca específica: xz-utils nas versões 5.6.0 ou superior, que é utilizada em alguns serviços como sistema operacional Linux e especialmente o serviço OpenSSH, utilizado para acessos SSH em servidores Linux e em outras ferramentas.
A vulnerabilidade cria uma “backdoor” no ambiente, permitindo acesso não autorizado à servidores e infraestruturas.
A equipe de engenharia e segurança da Neture validou preventivamente nossa infraestrutura e confirmou que nenhum serviço interno é afetado pela vulnerabilidade.
CloudOps
Nosso time de segurança está enviando notificações para todos os clientes de CloudOps que podem ter ambientes e aplicações afetadas pela vulnerabilidade.
Esta vulnerabilidade é considerada crítica de nível mais alto (CVE 10.0).
É importante validar aplicações que utilizam bibliotecas que dependam da xz-utils e também acompanhar possíveis atualizações de fornecedores ao longo dos próximos dias.
A equipe de segurança da Neture está analisando, preventivamente, todos os ambientes de nossos clientes que operam Linux ou possam utilizar a biblioteca para informar sobre a necessidade de aplicar ações corretivas.
Estaremos atualizando este post com mais informações caso disponíveis.
Conte com nossa equipe para manter seu negócio seguro! 🙂
Caso tenha dúvidas, não deixe de contatar o nosso suporte em: https://suporte.neture.com.br.
Atualização do Sharing 2.9.2
Lançamos hoje (16/02/2024) uma atualização do Sharing para versão: 2.9.2.
Esta é uma versão focada em correções de problemas identificados.
Nesta atualização foram realizadas as seguintes alterações:
A atualização é automática e transparente para o usuário.
Caso qualquer erro venha a ocorrer, basta seguir nossa documentação de como tratar erros comuns: Erros comuns de instalação do Sharing
Caso tenha dúvidas, não deixe de contatar o nosso suporte em: https://suporte.neture.com.br.