Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/04/2014
El tema és molt seriós, ja que SSL/TLS proporcionen una capa de seguretat i privacitat en les comunicacions en un ampli espectre d’Internet: aplicacions web, passarel·les de pagament, accessos a banca electrònica, correu electrònic, missatgeria instantània o algunes xarxes privades virtuals (VPN).
L’error“Heartbleed” permet a un atacant llegir la memòria dels sistemes aparentment protegits per versions vulnerables d’OpenSSL. Este tipus d’atac pot posar en una situació compromesa les claus secretes que s’utilitzen per a identificar els proveïdors de servicis i xifrar el tràfic, noms d’usuari i contrasenyes, etc. Parlem de comprometre comunicacions que, com que estan usant SSL/TLS, ja s’entén que són de naturalesa una mica crítica en cas de ser interceptades amb el que això suposa.
Sistemes Afectats:CVE-2014-0160
Solució:Des d’OpenSSL han publicat un parche per a esta vulnerabilitat i vos recomanem aplicar-lo amb urgència (o recompilar les versions actuals amb l’opció: -DOPENSSL_NO_HEARTBEATS)
Notes:https://www.openssl.org/news/secadv_20140407.txt