Tal y como podemos leer en RedesZone, se ha descubierto hace unas horas una vulnerabilidad muy grave en OpenSSL que compromete las claves secretas utilizadas para identificar los proveedores de servicios y para cifrar el tráfico, los nombres o las contraseñas de los usuarios. Este error puede permitir a los atacantes espiar las comunicaciones y robar datos directamente de los servicios o de los usuarios con el objetivo de hacerse pasar por ellos. Un ejemplo de la envergadura del error es que el servidor Apache es utilizado por casi la mitad de las páginas web y usa OpenSSL, lo que puede provocar que todo ese tráfico generado por Apache sea vulnerable a ataques.

Heartbleedheartbleed

La vulnerabilidad ha sido llamada Heartbleed por sus descubridores, aunque su nombre oficial es CVE-2014-0160. Heartbleed permite al atacante leer 64 KB de memoria en un servidor y esa memoria puede contener información muy importante sobre los usuarios o servidores. Aunque este error está presente en OpenSSL desde diciembre de 2011, hasta ahora no se ha descubierto y puede engañar a cualquier sistema que utilice versiones de OpenSSL de hasta dos años de antigüedad. En concreto, las versiones de OpenSSL afectadas van desde la 1.0.1 hasta la 1.0.2-beta, y por el momento han sacado una versión provisional, la 1.0.1g, para arreglar la vulnerabilidad, aunque los operadores de páginas web tendrán que también revocar los certificados de seguridad antiguos, ya que podrían estar comprometidos.

¿Qué es OpenSSL?

OpenSSL es un proyecto de software libre basado en SSLeay y consiste en un conjunto de herramientas de administración y bibliotecas que tienen relación con la criptografía. Se utiliza para cifrar la mayoría del tráfico que es enviado por Internet de forma segura y eficiente. Lo que hace es suministrar funciones criptográficas a paquetes como OpenSSH o a navegadores web para tener un acceso seguro a sitios HTTPS y para cifrar el tráfico. La última versión estable de Open SSL es la 1.0.1f de enero de este año.

 

Fuente: adslzone