Daboweb | Seguridad y ayuda informática |

Actualización: La mayoría de distribuciones están ofreciendo ya parches vía sus repositorios (Debian, Ubuntu, CentOS, etc). Por lo que vía aptitude / apt o yum, ya se pueden aplicar. Podéis comprobar si vuestro servidor es vulnerable desde http://filippo.io/Heartbleed.

Tal y como podemos leer en heartbleed.com, hablamos de una grave vulnerabilidad (CVE-2014-0160) en la popular biblioteca de software criptográfico OpenSSL. Este fallo, permite robar la información protegida bajo condiciones normales, por el cifrado SSL / TLS.

El tema es muy serio ya que SSL / TLS proporcionan una capa de seguridad y privacidad en las comunicaciones en un amplio espectro de Internet: aplicaciones web, pasarelas de pago, accesos a banca electrónica, correo electrónico, mensajería instantánea o algunas redes privadas virtuales (VPN).

El error «Heartbleed» permite a un atacante leer la memoria de los sistemas aparentemente protegidos por versiones vulnerables de OpenSSL. Este tipo de ataque puede comprometer las claves secretas que se utilizan para identificar a los proveedores de servicios y cifrar el tráfico, nombres de usuario y contraseñas, etc. Hablamos de comprometer comunicaciones que al estar usando SSL / TLS ya se entiende que son de naturaleza un tanto críticas caso de ser interceptadas con lo que ello supone.

¿Qué versiones de OpenSSL están afectadas?

OpenSSL 1.0.1 hasta la versión 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g No es vulnerable
OpenSSL rama 1.0.0 No es vulnerable
OpenSSL rama 0.9.8  No es vulnerable

Desde OpenSSL han publicado un parche para esta vulnerabilidad y os recomendamos aplicarlo con urgencia (o recompilar las versiones actuales con la opción: -DOPENSSL_NO_HEARTBEATS)

Apple ha puesto a disposición de los usuarios dos actualizaciones en IOS para dispositivos iPhone 3GS – iPod Touch (cuarta generación), IOS 6.1.6, así como para iPhone 4, 5, 5C, 5S y para el iPod Touch de quinta generación IOS 7.0.6. Ambas actualizaciones solventan una vulnerabilidad que permitiría a un atacante con privilegios en una Red, modificar y capturar datos en sesiones protegidas por SSL/TLS.

Ambas actualizaciones pueden aplicarse vía iTunes o desde el dispositivo (Ajustes, General, «acerca de» y ya podréis ver la actualización).

Del mismo modo, está disponible la misma actualización para Apple TV (6.0.2).

Se encuentra disponible en Intypedia, la enciclopedia de la Seguridad de la Información, un nuevo capítulo o lección en vídeo titulado: Introducción al protocolo SSL.

En el vídeo, que dura alrededor de 18 minutos y se compone de cuatro escenas, “Alicia y Bernardo nos explican los  fundamentos  del  protocolo criptográfico SSL/TLS. Un protocolo de vital importancia en el comercio electrónico y en las redes privadas virtuales seguras.

ESCENA 1.
Orígenes de SSL. Ataques a la identidad e integridad de los datos.

ESCENA 2.
Funcionamiento de SSL. SSL Handshake Protocol.

ESCENA 3.
Aplicaciones del protocolo SSL. Comercio electrónico y VPNS

ESCENA 4.
Seguridad del protocolo SSL.

♦ Ver el vídeo.

♦ Descargar el guión en formato PDF.