Una nueva amenaza llamada el Bug Heartbleed acaba de ser informado por algunos investigadores de Codenomicon y Google. Heartbleed ataca la extensión heartbeat ( RFC 6520 ) implementado en OpenSSL. La referencia oficial al bug Heartbleed es CVE-2014-0160.
¿En qué consiste el fallo de seguridad de OpenSSL o heartbleed?
Heartbleed permite a un atacante leer la memoria de un sistema a través de Internet y comprometer las claves privadas, nombres, contraseñas y contenido. Un ataque que no se registra y no sería detectable. El ataque puede ser desde el cliente al servidor o desde el servidor al cliente.
Heartbleed no es un defecto de la especificación del protocolo SSL / TLS, ni es un defecto con la autoridad de certificación (CA) o el sistema de gestión de certificados. Heartbleed es un error de implementación.
¿ Qué versiones de OpenSSL se ven afectadas por el Bug Heartbleed ?
El bug Heartbleed afecta las versiones de OpenSSL 1.0.1 hasta 1.0.1f. La solución está en OpenSSL versión 1.0.1g. Las vesriones 0.9.8 y 1.0.0 no se ven afectados. OpenSSL 1.0.1 se introdujo en marzo de 2012, por lo que la vulnerabilidad está presente desde 2 años atrás.
Openssl es utilizado en servidores Apache and NGINX que según estadísticas, ocupa el 66% del mercado mundial, significa Millones de de Servidores que se ven afectados por este Fallo de Seguridad. OpenSSL es también utilizado en servidores Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 and 5.4, FreeBSD 8.4 and 9.1, NetBSD 5.0.2 and OpenSUSE 12.2.
¿ Qué debo hacer para protegerme del Bug heartbleed?
El bug heartbleed no es un fallo de seguridad del equipo cliente, es un fallo en el Servidor que utiliza OpenSSL. Por lo tanto, los servidores que utilizan la verisón de OpenSSL y está afectada por el bug heartbleed deben:
- Actualizar la versión de OpenSSL inmediatamente. Esta actualización requiere re-iniciar el servidor.
- Después de haber re-iniciado el servidor, cambiar todas las contraseñas asociadas al servidor.
- Considerar la re-emisión del Certificado SSL.
¿ Qué hizo Neothek para contener este fallo de seguridad ?
Una vez que se detecto el problema y se liberó las instrucciones para actualizar OpenSSL, nuestros técnicos aplicaron la actualización y re-iniciaron los servidores en horas de bajo tráfico. La solución se aplicó a todos los servidores de web hosting y clientes de Servidores VPS
Todos nuestros clientes de Certificados SSL pueden solicitar la re-emisión de su Certificado SSL gratuitamente. Una vez actualizado OpenSSL necesita re-iniciar el servidor y Generar un certificado de Solicitud CSR para la re-emisión.
Cómo usuario final recomendamos actualizar sus contraseñas de acceso.