Vulnerabilidad de OpenSSL: el bug "Heartbleed"

El bug (error de software) conocido como Heartbleed es una vulnerabilidad muy grave en la famosa biblioteca de software criptográfico de OpenSSL. Esta debilidad permite que se robe información protegida en condiciones normales por el cifrado SSL/TLS que se usa para asegurar la Internet. El cifrado SSL/TLS brinda seguridad y privacidad en comunicaciones en la Internet para aplicaciones como la web, correos electrónicos, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El bug "Heartbleed" permite que cualquier persona en la Internet pueda leer la memoria de los sistemas protegidos por las versiones vulnerables del software de OpenSSL. Esto compromete las claves secretas usadas para identificar los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto da lugar a que los atacantes espíen las conversaciones, roben datos directamente desde los servicios y los usuarios, y suplanten usuarios y servicios. Fuente (1)

 

¿Qué versiones de OpenSSL están afectadas?

Únicamente las versiones 1.0.1 y 1.0.2 -beta de OpenSSL están afectadas, incluso la 1.0.1f y la 1.0.2-beta1.

NOTA: Redhat/CentOS ha lanzado una versión parcheada que todavía se muestra como "openssl-1.0.1e-16.el6_5.7”

  • Las versiones 1.0.1 a la 1.0.1f (inclusive) de OpenSSL son vulnerables
  • La versión 1.0.1g de OpenSSL NO es vulnerable
  • La rama 1.0.0 de OpenSSL NO es vulnerable
  • La rama 0.9.8 de OpenSSL NO es vulnerable

Cómo verificar si usted es vulnerable

Compruebe la versión de OpenSSL en el servidor:

1) Conéctese al servidor mediante línea de comandos:

*) En CentOS/Redhat:

rpm -qa openssl* 

 

** ) En Ubuntu/Debian:

dpkg -l | grep openssl
(Make sure the version installed matches the ones that are reported here: http://www.ubuntu.com/usn/usn-2165-1/ )

 

2) Con herramientas en línea:

http://filippo.io/Heartbleed/

 

Solución:

1- Actualice OpenSSL en su servidor a la versión más nueva (1.0.1g o +)

2- Identifique los servicios que utilizan openssl (HTTP, SMTP, etc.):

  • lsof -n | grep ssl | grep DEL | awk '{print $1}' | sort | uniq

3) Reinicie esos servicios.  Este paso es muy importante ya que el solo hecho de actualizar las bibliotecas afecta los servicios actualmente en ejecución.

4- Vuelva a controlar que no hayan servicios vulnerables:

5- A modo de precaución, también le recomendamos que haga lo siguiente:

  • Genere nuevamente su clave privada de SSL
  • Solicite y sustituya el certificado de SSL 

Referencias externas (en inglés):

  1. http://heartbleed.com/
  2. https://www.openssl.org/news/secadv_20140407.txt
  3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
  4. http://www.madboa.com/geek/openssl/
  5. http://bestinlinux.com/upgrade-openssl-latest-version-cpanel/
  6. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
  7. http://ipsec.pl/ssl-tls/2014/why-heartbleed-dangerous-exploiting-cve-2014-0160.html
  8. RedHat: https://rhn.redhat.com/errata/RHSA-2014-0376.html
  9. Ubuntu: http://www.ubuntu.com/usn/usn-2165-1/
  10. Parallels Plesk: http://kb.parallels.com/en/120990/?show_at=es
  11. Parallels Virtuozzo: http://kb.parallels.com/en/120989/?show_at=es
  12. cPanel/WHM: https://cpanel.net/heartbleed-vulnerability-information/
  13. http://www.vmware.com/security/advisories/VMSA-2014-0004.html
  14. https://ssl-tools.net/mailservers

 **Asegúrese de cambiar su contraseña de usuario.

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk