Noticias
Vulnerabilidad OpenSSL Heartbleed, la más grave de la historia de la Web
Ingenieros de Google y de la firma de seguridad Codenomicon han descubierto una grave vulnerabilidad en el sistema de administración de cifrado OpenSSL, muy utilizado para accesos seguros en sitios HTTPS y por defecto para el cifrado de servidores Apache o nginx.
Denominada como Heartbleed, dicen que puede ser la vulnerabilidad de mayor alcance de la historia de la Web ya que podría alcanzar a dos tercios de servidores de Internet que usan este paquete de administración y bibliotecas de cifrado.
El bug permitiría a un pirata informático superar el cifrado y leer la memoria de los sistemas protegidos por las versiones vulnerables de OpenSSL, accediendo a datos protegidos, comprometiendo comunicaciones en aplicaciones de correo electrónico, mensajería instantánea, redes privadas virtuales o sitios web, obteniendo nombres y contraseñas de acceso, tarjetas de crédito y todo tipo de datos.
Una vulnerabilidad muy seria por su amplio alcance, que ya está corregida en la última versión del software OpenSSL 1.0.1g a la que se recomienda encarecidamente actualizar desde las todavía vulnerables versiones 1.0.1 hasta la 1.0.1f. También revocar certificados SSL que se hubieran visto afectados, actualizar distribuciones GNU/Linux y aplicaciones que incluyen OpenSSL y el software de los servidores. Algo que está en marcha en medio mundo.
Aunque la vulnerabilidad está presente al menos hace dos años, no se conoce su grado de explotación. Parece mínimo o nulo porque si no nos hubiéramos enterado (pero bien) ante su potencial. En lo positivo, destacar la prontitud de la liberación de la versión corregida, algo habitual en software libre. Red Hat, Debian, SuSE, Canonical, y Oracle, por citar solo algunas, trabajan a un ritmo febril para ofrecer las versiones parcheadas de OpenSSL a sus clientes. Algo que estaría disponible en horas como la corrección para OpenSSL 1.0.2 también vulnerable que será actualizada a la 1.0.2 beta2.
En lo negativo (además de la vulnerabilidad en sí) llegan críticas por el anuncio público del bug cuando desde OpenSSL y otras grandes firmas ya se estaba trabajando en su corrección. Un intervalo que podría haber sido aprovechado para sembrar el caos en la Web por la presencia de OpenSSL, utilizado en dos tercios de servidores de Internet.
-
GuíasHace 3 días
Qué son los DNS y por qué mejoran la experiencia en Internet
-
PrácticosHace 6 días
Cómo actualizar Windows mediante el Catálogo de Microsoft Update
-
GuíasHace 5 días
Presente y futuro de PCI Express, el bus más importante de una computadora
-
NoticiasHace 4 días
Consigue Windows 11 al mejor precio y prepárate para la llegada de Windows 12