Heartbleed, la grave vulnerabilidad que pone en peligro la seguridad en Internet

Escrito por Jorge Calderón
Virus
3

Se ha descubierto una vulnerabilidad en OpenSSL denominada Heartbleed con la que se puede engañar a un sistema haciendo que revele datos que tenga alojados en la memoria. La vulnerabilidad lleva presente desde diciembre de 2011 y hasta ahora no se había sabido nada sobre ella. Mucho tráfico web podría estar comprometido.

Tal y como podemos leer en RedesZone, se ha descubierto hace unas horas una vulnerabilidad muy grave en OpenSSL que compromete las claves secretas utilizadas para identificar los proveedores de servicios y para cifrar el tráfico, los nombres o las contraseñas de los usuarios. Este error puede permitir a los atacantes espiar las comunicaciones y robar datos directamente de los servicios o de los usuarios con el objetivo de hacerse pasar por ellos. Un ejemplo de la envergadura del error es que el servidor Apache es utilizado por casi la mitad de las páginas web y usa OpenSSL, lo que puede provocar que todo ese tráfico generado por Apache sea vulnerable a ataques.

Heartbleedheartbleed

La vulnerabilidad ha sido llamada Heartbleed por sus descubridores, aunque su nombre oficial es CVE-2014-0160. Heartbleed permite al atacante leer 64 KB de memoria en un servidor y esa memoria puede contener información muy importante sobre los usuarios o servidores. Aunque este error está presente en OpenSSL desde diciembre de 2011, hasta ahora no se ha descubierto y puede engañar a cualquier sistema que utilice versiones de OpenSSL de hasta dos años de antigüedad. En concreto, las versiones de OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta, y por el momento han sacado una versión provisional, la 1.0.1g, para arreglar la vulnerabilidad, aunque los operadores de páginas web tendrán que también revocar los certificados de seguridad antiguos, ya que podrían estar comprometidos.

¿Qué es OpenSSL?

OpenSSL es un proyecto de software libre basado en SSLeay y consiste en un conjunto de herramientas de administración y bibliotecas que tienen relación con la criptografía. Se utiliza para cifrar la mayoría del tráfico que es enviado por Internet de forma segura y eficiente. Lo que hace es suministrar funciones criptográficas a paquetes como OpenSSH o a navegadores web para tener un acceso seguro a sitios HTTPS y para cifrar el tráfico. La última versión estable de Open SSL es la 1.0.1f de enero de este año.

Fuente > ADSLZone

Continúa leyendo
Comentarios
3 comentarios
  1. Anónimo
    Usuario no registrado
    08 Abr, 14 4:54 pm

    Lastima que fuera corregida ayer en pocas horas…

    1. Islander 08 Abr, 14 5:33 pm

      Ciertamente, pero de aquí a que todos acaben integrando el parche en su software….. pasará tiempo.

  2. Anónimo
    Usuario no registrado
    09 Abr, 14 4:09 am

    Todo se fue a la mierda, vaciaron mi cuenta del banco.
    Por cierto, estos pendejos no vieron que estaba en rojo, así que se fueron con mis deudas.
    HAHAHA
    Pobres mamones, ya cambié mis password, quédense con las deudas.