Noticias

Vulnerabilidad crítica en OpenSSL

La vulnerabilidad posibilita obtener información cifrada según el protocolo SSLTLS, lo cual permite a un atacante obtener información sensible. En caso de utilizar una versión vulnerable, es necesario actualizarla.

La vulnerabilidad posibilita obtener información cifrada según el protocolo SSL/TLS, lo cual permite a un atacante obtener información sensible. En caso de utilizar una versión vulnerable, es necesario actualizarla.

Una gran cantidad de servicios disponibles en Internet (principalmente Apache, Nginx, entre otros), usan la librería OpenSSL para asegurar las comunicaciones, a través del protocolo SSL/TLS.

Las versiones vulnerables son las comprendidas entre la versión 1.0.1 hasta la 1.0.1f inclusive y 1.0.2-beta. La versión 1.0.1g ya corrige este problema. Cabe destacar que no se tiene una manera de mitigar este problema que no sea actualizando a una versión sin el problema o “recompilando” la librería con la opción -DOPENSSL_NO_HEARTBEATS.
La vulnerabilidad CVE-2014-0160, denominada “The heart bleed bug”, permite obtener información cifrada según el protocolo SSL/TLS, posibilitando a un atacante obtener información sensible - clave privada, información cifrada, clave de sesión, entre otros- del servidor y de las comunicaciones.

Debido a esto es importante actualizar cuanto antes los sistemas en caso de confirmar su vulnerabilidad.

Además del alto impacto y de la cantidad de servicios afectados en toda Internet, otra de las características de esta vulnerabilidad es que el atacante no deja rastros por lo que es imposible identificar quienes ya han sido víctimas.