El día de hoy se reportó la existencia de un bug en la librería para cifrado de datos OpenSSL que es utilizada principalmente para crear y gestionar certificados de seguridad en servidores web y de correo.
Esta vulnerabilidad, bautizada como "Heartbleed" bug, debido a que se encuentra en la extensión para el manejo de heartbeat en TLS, puede permitir que un atacante sea capaz de leer la memoria del servidor, teniendo así acceso a las llaves de cifrado para certificados de seguridad.
Dado que OpenSSL es utilizado por software de servidor muy popular, tal como los servidores web Apache y Nginx, se estima que más de la mitad de los servidores en Internet es afectado por esta vulnerabilidad.
Ya se liberó una actualización de OpenSSL que corrige esta falla (la versión corregida es la 1.0.1g). Así que te recomendamos que si utilizas OpenSSL lo actualices lo antes posible. El problema es que no hay forma de saber si alguien ya explotó esta vulnerabilidad para obtener las llaves de tus certificados. Así que la recomendación es revocar las llaves actuales de tus certificados y emitir nuevas.
En el sitio web http://heartbleed.com se puede encontrar información más detallada sobre el bug y sus consecuencias. Este sitio fue creado por Codenomicon, la empresa de seguridad que detectó la vulnerabilidad.
- Log in to post comments