sábado, 26 de abril de 2014

Comprueba si tu Fedora está afectado con Heartbleed (vulnerabilidad de OpenSSL)

Hace varias semanas que salió a la luz Heartbleed, una vulnerabilidad seria introducida en OpenSSL (software de encripta y desencripta la información sensible que manejamos en nuestra computadora hacia y desde Internet) en el añ 2011. La misma permite el robo de información protegida, en condiciones normales, por las encriptaciones SSL/TLS usadas para asegurar Internet. SSL/TLS provee seguridad y privacidad en las comunicaciones a través de Internet para aplicaciones como correo electrónico, mensajería, etc.

Esto permite que cualquiera en Internet lea la memoria de sistemas protegidos por la versión vulnerable de OpenSSL. Compromete llaves seguras usadas para identificar los proveedores de servicios y encriptación del tráfico, los nombres y contraseñas de los usuarios y el contenido actual. Esto también permite al atacante espiar las comunicaciones, robar datos directamente de los servicios y usuario, así como imitar (suplantar) servicios y usuarios.

Muchos sistemas operativos de la familia GNU/Linux ya han lanzado versiones parchadas de OpenSSL, sin embargo otras no lo han hecho aún. En Fedora podemos verificar cuál versión tenemos instalada actualmente.
[fraterneo@rainbow ~]$ openssl version
OpenSSL 1.0.1e 11 Feb 2013
Las versiones afectadas por Heartbleed van desde la 1.0.1 hasta la 1.0.1f (inclusive), por lo que efectivamente estamos en riesgo. Ahora procedemos a actualizar este paquete.
[fraterneo@rainbow ~]$ sudo yum update -y openssl
Luego de esta actualización verificamos la versión que ahora tenemos y si le fue aplicado un parche para corregir el problema.
[fraterneo@rainbow ~]$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

[fraterneo@rainbow ~]$ rpm -qa --changelog | grep CVE-2014-0160
- pull in upstream patch for CVE-2014-0160
- pull in upstream patch for CVE-2014-0160
Como podemos ver ya tenemos una versión de OpenSSL que ha sido parcheada para corregir el problema de Heartbleed.

Al menos, de momento, podemos tener un poco de falso sentido de la seguridad.

Más información:
http://heartbleed.com/
https://www.openssl.org/


Artículos relacionados



Widget by Hoctro | Jack Book

0 comments:

Publicar un comentario en la entrada