Esto permite que cualquiera en Internet lea la memoria de sistemas protegidos por la versión vulnerable de OpenSSL. Compromete llaves seguras usadas para identificar los proveedores de servicios y encriptación del tráfico, los nombres y contraseñas de los usuarios y el contenido actual. Esto también permite al atacante espiar las comunicaciones, robar datos directamente de los servicios y usuario, así como imitar (suplantar) servicios y usuarios.
Muchos sistemas operativos de la familia GNU/Linux ya han lanzado versiones parchadas de OpenSSL, sin embargo otras no lo han hecho aún. En Fedora podemos verificar cuál versión tenemos instalada actualmente.
[fraterneo@rainbow ~]$ openssl version OpenSSL 1.0.1e 11 Feb 2013Las versiones afectadas por Heartbleed van desde la 1.0.1 hasta la 1.0.1f (inclusive), por lo que efectivamente estamos en riesgo. Ahora procedemos a actualizar este paquete.
[fraterneo@rainbow ~]$ sudo yum update -y opensslLuego de esta actualización verificamos la versión que ahora tenemos y si le fue aplicado un parche para corregir el problema.
[fraterneo@rainbow ~]$ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 [fraterneo@rainbow ~]$ rpm -qa --changelog | grep CVE-2014-0160 - pull in upstream patch for CVE-2014-0160 - pull in upstream patch for CVE-2014-0160
Al menos, de momento, podemos tener un poco de falso sentido de la seguridad.
Más información:
http://heartbleed.com/
https://www.openssl.org/
Más información:
http://heartbleed.com/
https://www.openssl.org/
No hay comentarios:
Publicar un comentario