Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/04/2014
Vulnerabilitat greu en OpenSSL
Com podem llegir en heartbleed.com, parlem d’una greu vulnerabilitat (CVE-2014-0160) en la popular biblioteca de software criptogràfic OpenSSL. Esta fallada permet robar la informació protegida en condicions normals pel xifrat SSL/TLS.El tema és molt seriós, ja que SSL/TLS proporcionen una capa de seguretat i privacitat en les comunicacions en un ampli espectre d’Internet: aplicacions web, passarel·les de pagament, accessos a banca electrònica, correu electrònic, missatgeria instantània o algunes xarxes privades virtuals (VPN).
L’error“Heartbleed” permet a un atacant llegir la memòria dels sistemes aparentment protegits per versions vulnerables d’OpenSSL. Este tipus d’atac pot posar en una situació compromesa les claus secretes que s’utilitzen per a identificar els proveïdors de servicis i xifrar el tràfic, noms d’usuari i contrasenyes, etc. Parlem de comprometre comunicacions que, com que estan usant SSL/TLS, ja s’entén que són de naturalesa una mica crítica en cas de ser interceptades amb el que això suposa.
Sistemes Afectats:- OpenSSL 1.0.1 fins a la versió 1.0.1f (inclusivament) són vulnerables
- OpenSSL 1.0.1g No és vulnerable
- OpenSSL branca 1.0.0 No és vulnerable
- OpenSSL branca 0.9.8 No és vulnerable
CVE-2014-0160
Solució:Des d’OpenSSL han publicat un parche per a esta vulnerabilitat i vos recomanem aplicar-lo amb urgència (o recompilar les versions actuals amb l’opció: -DOPENSSL_NO_HEARTBEATS)
Notes:https://www.openssl.org/news/secadv_20140407.txt