Segurança

Bug Heartbleed e servidor Couchbase

A segurança deve estar no centro de qualquer produto empresarial e levamos a segurança de nossos produtos a sério. Recentemente, um vulnerabilidade grave (também conhecida como Heartbleed) foi descoberta na biblioteca OpenSSL e, como o Couchbase Server tem alguns componentes criptográficos, gostaríamos que você estivesse ciente do risco representado pela vulnerabilidade e por que o Couchbase NÃO foi afetado.

Do que se trata esse bug?

O bug do heartbleed está dentro da extensão heartbeat do OpenSSL (RFC6520).

Avaliação de vulnerabilidade para o Couchbase Server

O gerenciador de cluster do Couchbase é escrito em Erlang. No gerenciador de cluster, o OpenSSL não é usado para a lógica do handshake TLS/SSL. Em vez disso, a lógica TLS/SSL é implementada em Erlang (Fonte).

Como o Couchbase Server não utiliza a funcionalidade do OpenSSL que está vulnerável, ele é NÃO afetados por esse bug. Nenhuma versão do Couchbase (até a mais recente, inclusive) foi afetada.

Protegendo a pilha

Embora o Couchbase esteja protegido contra o bug heartbleed, talvez você também queira pensar em outros serviços executados como parte de sua pilha de aplicativos.

Normalmente, as implementações do OpenSSL estão presentes em servidores proxy de terceiros, como Apache, nginx e HAProxy. Se o seu servidor Couchbase estiver atrás de um servidor que usa o OpenSSL 1.0.1 - 1.0.1f, você deverá corrigir seus servidores proxy e reiniciar esses serviços. Você também pode considerar a atualização dos certificados SSL de seus servidores front-end.

Se você estiver executando o Couchbase no Amazon EC2, talvez queira dar uma olhada no último boletim de segurança da Amazon aqui.

Precisa de mais informações sobre o inseto heartbleed?

  1. Aviso de segurança original da OpenSSL- https://www.openssl.org/news/secadv_20140407.txt

  2. Algumas perguntas feitas por usuários da comunidade Erlang -
    http://erlang.org/pipermail/erlang-questions/2014-April/078538.html
    http://erlang.org/pipermail/erlang-questions/2014-April/078537.html

Obrigado por seu apoio contínuo e mantenha-se seguro!

Compartilhe este artigo
Receba atualizações do blog do Couchbase em sua caixa de entrada
Esse campo é obrigatório.

Autor

Postado por Don Pinto, gerente principal de produtos da Couchbase

Don Pinto é gerente de produto principal da Couchbase e atualmente está concentrado no avanço dos recursos do Couchbase Server. Ele é extremamente apaixonado por tecnologia de dados e, no passado, foi autor de vários artigos sobre o Couchbase Server, incluindo blogs técnicos e white papers. Antes de ingressar no Couchbase, Don passou vários anos na IBM, onde ocupou a função de desenvolvedor de software no grupo de gerenciamento de informações DB2 e, mais recentemente, como gerente de programa na equipe do SQL Server na Microsoft. Don tem mestrado em ciência da computação e é bacharel em engenharia da computação pela Universidade de Toronto, no Canadá.

Todas as publicações

2 Comentários

  1. Don Pinto abril 11, 2014 em 4:36 am

    No sistema operacional Microsoft Windows, determinadas ferramentas de verificação das bibliotecas vulneráveis podem identificar as versões do Couchbase Server como vulneráveis ao problema heartbleed. Como o Couchbase Server não utiliza a funcionalidade do OpenSSL que está vulnerável, ele NÃO é afetado por esse bug.

Deixe um comentário

Pronto para começar a usar o Couchbase Capella?

Iniciar a construção

Confira nosso portal do desenvolvedor para explorar o NoSQL, procurar recursos e começar a usar os tutoriais.

Develop now
Use o Capella gratuitamente

Comece a trabalhar com o Couchbase em apenas alguns cliques. O Capella DBaaS é a maneira mais fácil e rápida de começar.

Use free
Entre em contato

Deseja saber mais sobre as ofertas do Couchbase? Deixe-nos ajudar.

Contact us