heartbleed-820x420Todos los sistemas operativos utilizan las librerías SSL (Secure Socket Layer) para cifrar y descifrar contenido, y ha sido en estas librerías donde se ha encontró un bug que permite a cualquiera con acceso a la red robar información protegida en un servidor web. Este bug es conocido con el nombre Heartbleed y no hay que confundirlo con el bug que se encontró en el GNUTLS hace poco que afectó a todas las distribuciones Linux, este es mucho más genérico y afecta a todo tipo de sistemas operativos.

Concretamente lo que puede hacer el bug encontrado es mucho peor de lo que se supuso en un principio y es que permite “inyectar” información directamente a la memoria, lo que puede ser utilizado por exploits para ejecutar comandos como el que hace poco utilizaron para obtener usuarios y contraseñas en los servidores de correo de Yahoo o incluso algo mucho peor.

heartbleed_2Las principales distribuciones ya incluyen una actualización que actualiza la versión OpenSSL con el bug arreglado. Yahoo, Google y Microsoft ya han anunciado que han actualizado todos sus servidores para evitar este bug, pero lo que nos preocupa son esos millones de servidores que utilizan HTTPS y que no van a recibir una actualización tan rápidamente como deberían, estoy hablando de servidores Asterisk, Elastix, SwitchVox, Gateways, PBX, Teléfonos y un sin fin de equipos que están a expensas de recibir una actualización para evitar males mayores y que tienen HTTPS como forma de acceso.

La versión con el fallo corregido es OpenSSL 1.0.1g. Las versiones vulnerables van desde la 1.0.1 hasta la 1.0.1f (versiones anteriores no tenían Heartbleed implementado).

Si quieres saber si tu equipo es vulnerable, hay una herramienta para hacerte un autochequeo: http://filippo.io/Heartbleed/

Más información: http://heartbleed.com/

 

4 Comentarios

  • Como puedo actualizar la version de Openssl????

    • Hola Franmy,
      Generalmente con actualizar los paquetes del sistema operativo es más que suficiente.
      Si aún así no se actualiza, seguramente es que tengas una versión muy antigua del sistema operativo. 🙁

      • Gracias hermano

  • Elastix no se vio afectado, la version que trae es OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

Archivos

© 2014 Sinologic, inc. All rights reserved.

Menú

Redes sociales