Hace un par de días atrás el US-CERT sacó la noticia que dejó atónitos a muchos (incluyéndome) en internet.
El fallo fue descubierto entre un grupo de investigación de Google y una firma de seguridad llamada Codenomicon. Y básicamente, este threat compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, se roban los datos directamente de los servicios, de los usuarios y suplantarlos.
El problema radica en el chequeo del "TLS heartbeat extension" del OpenSSL (de ahí el nombre Heartbleed) que permite capturar y desencriptar desde nombres de usuario hasta contraseñas en los primeros 64k de memoria conectados al cliente o al servidor de dicha extensión.
Las versiones afectadas son 1.0.1, 1.0.1f , 1.0.2-beta y 1.0.2-beta1 de OpenSSL.
Para arreglar la vulnerabilidad los usuarios deben actualizar al OpenSSL 1.0.1g. O bien recompilar su versión de OpenSSL con -DOPENSSL_NO_HEARTBEATS. La versión 1.0.2 será arreglada con 1.0.2-beta2.
Una nota curiosa es que la NIST, catalogara dicha vulnerabilidad como nivel medio:
http://web.nvd.nist.gov/view/vuln/search-results?query=+CVE-2014-0160&search_type=all&cves=on
No hay comentarios.:
Publicar un comentario