Heartbleed: la vulnerabilidad en OpenSSL ya fue corregida

openssl logo

Hace poco habíamos hablado de un fallo importante en GnuTLS, una librería SSL para Linux que se encarga de la gestión de certificados de seguridad, y cuando eso ya comenzaba a estar olvidado vuelve a aparecer un problema bastante importante como es el descubierto por Neel Mehta (del equipo de seguridad de Google) en OpenSSL, y que han dado en bautizar como Heartbleed.

Se trata de un fallo importante en la función que se encarga de la gestión de mensajes Heartbeat, que son utilizados como ‘keep-alive’ es decir que básicamente nos permiten avisar a los servidores a los cuales nos hemos conectado que seguimos estando allí para que la conexión no sea cerrada. El problema es que la implementación actual, presente en todas las distros de Linux y también en Windows y Mac OS X, permite que se puedan robar datos que los servidores tengan almacenados.

Esto sería posible si los atacantes repitieran los ataques a los servidores, tras lo cual podrían ir obteniendo ‘pedazos de información’ que pueden ser de hasta 64 Kb de la memoria de los mismos, y aunque se trata de posiciones de memoria completamente aleatorias lo cierto es que nadie sabe que puede llegar a haber en ellas: podría tratarse de claves, de datos de tarjetas de crédito o incluso más importantes.

Por suerte el mundo del software libre no vive de algo como el Patch Tuesday ni nada que se le parezca y tiene una velocidad para reparar fallos que en entornos propietarios no pueden siquiera imaginar, y la solución a esta vulnerabilidad ya está corregida. Sólo hay que actualizar el sistema, lo cual además de otros paquetes nos actualizará los que nos importan en este caso: ssh, openssl, openssh-client, openssh-server (esto puede variar de acuerdo a lo que tengamos instalado en nuestro sistema).

Más información: OpenSSL Advisory


Categorías

Software Libre

Willy Klew

Ingeniero en Informática, soy un fanático de Linux, Android, la programación, redes y todo lo que tenga que ver con las nuevas tecnologías. Ex atleta, y usuario de Linux desde 1997. Ah, y un total enfermo del fútbol.

Escribe un comentario