Category Archives: Vulnerabilities

heartbleed

¿Como solucionar problema de seguridad OpenSSL Heartbleed?

Un bug en openssl deja ‘en cueros’ a las webs con https. Hasta que no se parcheen los servidores casi parece más seguro navegar en plano.
Un equipo de la firma de seguridad Codenomicon y Neel Mehta, de google Security, descubrieron independientemente el bug que al parecer lleva en producción desde hace casi dos años y permite acceder a 64Kb de memoria (claves, usuarios, …) de la máquina vulnerable debido a un error de programación del módulo heartbeat de openssl.

Una análisis interesante se puede leer aquí . Y codenomicon ha publicado también una página divulgativa.
Para saber si una web es vulnerable se puede realizar un completo test en ssllabs o para ir más al grano, aquí.

La versión oficial de openssl con el parche que corrige el bug es la 1.0.1g.
Debian aplicó el parche en la versión 1.0.1e-2+deb7u5, ubuntu 12.04 1.0.1-4ubuntu5.12 y RedHat/CentOS 1.0.1e-16.el6_5.7. Actualizando los repositorios y upgradeando los paquetes ya debería obtenerse la versión parcheada. Después hay que reiniciar todos los servicios que usen openssl.

Después habría que renovar los certificados, puesto que quizá alguien ya ha ‘recopilado’ información referente al certificado de nuestro site y por tanto estaría comprometido.

A raíz de este bug, la Electronic Frontier Foundation recuerda lo interesante que es tener PFS activado.