Vulnerabilidad Heartbleed

Hace pocos días se dio a conocer la vulnerabilidad conocida como HEARTBLEED, un problema de seguridad para los usuarios de OpenSSL (la librería de código abierto de software criptográfico utilizada más ampliamente). Este bug podría permitir que se leyese la memoria de sistemas que utilizan las versiones vulnerables de OpenSSL (versiones 1.0.1 a 1.0.1f), pudiendo revelar las claves secretas de los servidores afectados y permitiendo descifrar comunicaciones encriptadas. También información memorizada como nombres de usuario y contraseñas podrían ser revelados, así como otros datos almacenados en la memoria del servidor.

Esta vulnerabilidad afecta a la librería OpenSSL, no es un defecto en los certificados SSL/TLS ya emitidos ni tampoco están en riesgo los códigos de firma intermedios y raices.

Para hacer frente a la posibilidad de una vulnerabilidad de OpenSSL en su entorno desde UBILIBET le recomendamos las siguientes acciones:

1) Identificar si sus servidores web son vulnerables (aquellos que ejecuten versiones de OpenSSL 1.0.1 a 1.0.1f & v1.0.2-beta1 con la extensión heartbeat habilitada). Si las versiones de OpenSSL son anteriores a 1.0.1 no sería necesario realizar acción alguna.

2) Si el servidor está afectado, se debe actualizar OpenSSL a la última versión parcheada (1.0.1g) o recompilar OpenSSL sin la extensión hearbeat.

3) Generar un nuevo CSR (Certificate Signing Request).

4) Solicitar la reemisión de cualquier certificado SSL para servidores afectados utilizando este nuevo CSR .

5) Instalar el nuevo certificado SSL

6) Revocar todo certificado SSL reemplazado.

Asimismo también sería muy recomendable que los administradores web consideraran la opción de cambiar aquellas contraseñas que podrían haber sido leídas de la memoria de un servidor afectado.

No duden en contactarnos para cualquier aclaración.

Comments are closed.