El bug (error de software) conocido como Heartbleed es una vulnerabilidad muy grave en la famosa biblioteca de software criptográfico de OpenSSL. Esta debilidad permite que se robe información protegida en condiciones normales por el cifrado SSL/TLS que se usa para asegurar la Internet. El cifrado SSL/TLS brinda seguridad y privacidad en comunicaciones en la Internet para aplicaciones como la web, correos electrónicos, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).
El bug “Heartbleed” permite que cualquier persona en la Internet pueda leer la memoria de los sistemas protegidos por las versiones vulnerables del software de OpenSSL. Esto compromete las claves secretas usadas para identificar los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto da lugar a que los atacantes espíen las conversaciones, roben datos directamente desde los servicios y los usuarios, y suplanten usuarios y servicios. Fuente (1)
¿Qué versiones de OpenSSL están afectadas?
Únicamente las versiones 1.0.1 y 1.0.2 -beta de OpenSSL están afectadas, incluso la 1.0.1f y la 1.0.2-beta1.
Las versiones 1.0.1 a la 1.0.1f (inclusive) de OpenSSL son vulnerables
La versión 1.0.1g de OpenSSL NO es vulnerable
La rama 1.0.0 de OpenSSL NO es vulnerable
La rama 0.9.8 de OpenSSL NO es vulnerable
Cómo verificar si usted es vulnerable
Compruebe la versión de OpenSSL en el servidor:
1) Conéctese al servidor mediante línea de comandos:
*) En CentOS/Redhat:
rpm -qa openssl*
** ) En Ubuntu/Debian:
dpkg -l | grep openssl
(Make sure the version installed matches the ones that are reported here: http://www.ubuntu.com/usn/usn-2165-1/ )
2) Con herramientas en línea:
http://filippo.io/Heartbleed/
Solución:
1- Actualice OpenSSL en su servidor a la versión más nueva (1.0.1g o +)
2- Identifique los servicios que utilizan openssl (HTTP, SMTP, etc.):
lsof -n | grep ssl | grep DEL | awk ‘{print $1}’ | sort | uniq
3) Reinicie esos servicios. Este paso es muy importante ya que el solo hecho de actualizar las bibliotecas afecta los servicios actualmente en ejecución.
4- Vuelva a controlar que no hayan servicios vulnerables:
5- A modo de precaución, también le recomendamos que haga lo siguiente:
Genere nuevamente su clave privada de SSL
Solicite y sustituya el certificado de SSL
Referencias externas (en inglés):
http://heartbleed.com/
**Asegúrese de cambiar su contraseña de usuario.