Heartbleed – No cambie su contraseña

0
253

Un consejo extraño de escuchar cuando el llamado bug Heartbleed está dejando las bases de datos en toda la web abierta y expuesta.

¿ Que es The Heartbleed ?

The Bug Heartbleed es una grave vulnerabilidad en el popular OpenSSL biblioteca de software criptográfico. Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar la Internet. SSL / TLS proporciona seguridad de las comunicaciones y la privacidad a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El error Heartbleed permite a cualquier persona en  Internet pueda leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, robar los datos directamente de los servicios y de los usuarios y para suplantar a los servicios y los usuarios.

¿Me afecta ?

Es probable que se verán afectados de forma directa o indirecta. OpenSSL es la más  popular  biblioteca criptográfica de código abierto  y TLS (Transport Layer Security) la aplicación utilizada para cifrar el tráfico en Internet.Su popular sitio social, el sitio de su empresa, sitio de comercio electrónico, sitio que instalan el software desde o incluso los sitios administrados por el gobierno podría estar usando OpenSSL vulnerable.Muchos de los servicios en línea utilizan TLS tanto a identificarse con usted y para proteger su privacidad y transacciones. Es posible que tenga aparatos conectados en red con conexiones aseguradas por esta aplicación con errores de la TLS. Además es posible que el software de cliente en el equipo que podría exponer a los datos de su ordenador si se conecta a los servicios comprometidos.

¿Qué versiones de OpenSSL se ven afectados?

Situación de las diferentes versiones:

  • OpenSSL 1.0.1 través 1.0.1f (inclusive) son vulnerables
  • OpenSSL 1.0.1g NO es vulnerable
  • OpenSSL 1.0.0 rama NO es vulnerable
  • OpenSSL 0.9.8 rama NO es vulnerable

Bug se introdujo en OpenSSL en diciembre de 2011 y ha estado desde OpenSSL liberar 1.0.1 el 14 de 2012 Marzo. OpenSSL 1.0.1g lanzado el 07 de abril 2014 corrige el error.

¿Como me protejo ?

Los proveedores de servicios y los usuarios tienen que instalar la revisión mas actual de Open SSL  en cuanto esté disponible para los sistemas operativos, aplicaciones en red y software que utilizan.

 

Dejar respuesta