OpenSSL es un conjunto de librerías critpográficas de código abierto que permiten que los sitios web utilicen SSL (Secure Socket Layer) o TLS (Transport Security Layer) para cifrar las comunicaciones. De esta forma se protege la información que recibimos y enviamos al visitar un sitio web, en especial los datos sensibles, como por ejemplo las credenciales de autenticación (usuario y contraseña).
Un equipo de investigadores descubrió una falla en varias versiones de OpenSSL (The HeartBleed Bug) que permitirían a un atacante robar la información que en condiciones normales estaría protegida. Como parte de las pruebas realizadas por los investigadores, pudieron obtener la clave secreta utilizada en los certificados X.509, nombres de usuarios y contraseñas para distintos servicios (correo electrónico, mensajería instantánea, etc), correos electrónicos enviados y/o recibidos y documentos sensibles transmitidos.
Las versiones de OpenSSL desde la 1.0.1 hasta la 1.0.1f (inclusive) son vulnerables. Una forma de identificar si la vulnerabilidad afecta al servidor es ejecutando en una consola de Linux la siguiente sentencia:
openssl s_client -connect heartbleed.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' | echo safe
Si aparece la leyenda "safe", el servidor no es vulnerable. En este caso estamos verificando el sitio heartbleed.com, donde los investigadores información sobre la vulnerabilidad en cuestión.
Una forma más sencilla de verificar la existencia de la vulnerabilidad es visitando la página del servicio Test your Server fot HeartBleed y colocando el sitio que queremos chequear. Éste chequea por nosotros si el servidor es vulnerable. En la Figura 1 podemos apreciar nuevamente el resultado para el sitio heartbleed.com.
Un equipo de investigadores descubrió una falla en varias versiones de OpenSSL (The HeartBleed Bug) que permitirían a un atacante robar la información que en condiciones normales estaría protegida. Como parte de las pruebas realizadas por los investigadores, pudieron obtener la clave secreta utilizada en los certificados X.509, nombres de usuarios y contraseñas para distintos servicios (correo electrónico, mensajería instantánea, etc), correos electrónicos enviados y/o recibidos y documentos sensibles transmitidos.
¿Cómo saber si tu sitio web tiene una versión vulnerable de OpenSSL?
Las versiones de OpenSSL desde la 1.0.1 hasta la 1.0.1f (inclusive) son vulnerables. Una forma de identificar si la vulnerabilidad afecta al servidor es ejecutando en una consola de Linux la siguiente sentencia:
openssl s_client -connect heartbleed.com:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' | echo safe
Si aparece la leyenda "safe", el servidor no es vulnerable. En este caso estamos verificando el sitio heartbleed.com, donde los investigadores información sobre la vulnerabilidad en cuestión.
Una forma más sencilla de verificar la existencia de la vulnerabilidad es visitando la página del servicio Test your Server fot HeartBleed y colocando el sitio que queremos chequear. Éste chequea por nosotros si el servidor es vulnerable. En la Figura 1 podemos apreciar nuevamente el resultado para el sitio heartbleed.com.
Figura 1 - El sitio heartbleed.com no es vulnerable
¿Cómo corrijo la vulnerabilidad?
El proyecto OpenSSL publicó un boletín de seguridad donde indica que ha liberado la versión 1.0.1g que corrige esta vulnerabilidad. La misma puede descargarse desde el siguiente enlace: https://www.openssl.org/source
La vulnerabilidad está reportada bajo el CVE-2014-0160 y puede obtenerse más información en el sitio oficial The Heartbleed Bug.
No hay comentarios:
Publicar un comentario