Google y la firma de seguridad Codenomicon han reportado un agujero de seguridad para el software OpenSSL que puede afectar a más de la mitad de los servidores del planeta. El error tiene el código CVE-2014-0160.
Qué es Heartbleed
Este es el nombre que ha recibido el agujero de seguridad, que permite que atacantes puedan robar información cifrada a través del protocolo SSL/TLS en condiciones normales. El error fue introducido en el código de OpenSSL en Diciembre de 2011.
Como bien sabemos SSL/TLS es el protocolo que la mayoría de los sitios utilizan para proteger la comunicación entre el cliente y el servidor, y se utiliza en la mayoría de los servicios como redes sociales, buscadores, correo electrónicos, entre otros.
Versiones de OpenSSL en riesgo
- OpenSSL 1.0.1 hasta 1.0.1f son vulnerables.
- OpenSSL 1.0.1g no es vulnerable
- OpenSSL 1.0.0 no es vulnerable
- OpenSSL 0.9.8 no es vulnerable
Cómo resolver la vulnerabilidad
La mayoría de las distribuciones Linux ya tienen listos los paquetes con el parche del bug.
Sistemas que deben hacer un update del paquete de OpenSSL
Sistemas basados en RHEL:
Código :
# yum update openssl
Sistemas basados en Debian:
Código :
# apt-get upgrade
Como último paso, es obligatorio el reinicio de todos los servicios que utilicen OpenSSL como el servidor web, de correo, base de datos y proxy.
Sitio web del bug: http://heartbleed.com/
¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.
Por Ivan Aguilar el 08 de Abril de 2014
¿Esto no es una broma del día de inocentes no?
Sisco :
¿Esto no es una broma del día de inocentes no?
Para nada, es preocupante...
https://www.facebook.com/dweekly/posts/10101011550436613
Por G547 el 08 de Abril de 2014