Estimados colegas informáticos y no informáticos, hace unos días se ha estado hablando del descubrimiento de una gran vulnerabilidad en OpenSSL, sí eso que tiene que ver con el cifrado SSL/TLS, ¿Grave verdad?. Esto es en parte un copy paste del un sitio que yo visito pero está bien explicadito: "El bug llamado Heartbleed es una vulnerabilidad importante en la popular librería criptográfica OpenSSL. Esta debilidad permite robar información protegida por el cifrado SSL/TLS usada en buena parte de la seguridad en Internet. SSL/TLS permite conexiones seguras y privadas en servicios web (https Apache y ngnix), de correo electrónico, mensajería instantánea y redes virtuales privadas (VPN) como OpenVPN." Como se puede leer en la cita OpenSSL está presente en todo casi-todo lo referente a conexiones seguras, entonces si ésta librería tiene fallo de seguridad nuestras conexiones seguras no son tan seguras. Bien no está todo perdido pero hay que trabajar un poco para solucionar este problema. "Las versiones OpenSSL afectadas son la 1.0.1 hasta 1.0.1f (incluída) y la 1.0.2-beta. Las ramas anteriores OpenSSL 1.0.1g NO es vulnerable OpenSSL 1.0.0 rama NO es vulnerable OpenSSL 0.9.8 rama NO es vulnerable " Entonces no están todas las versiones afectadas por este fallo, solo las que se nombraron anteriormente, pero afectan a grandes distros Linux y otras Unix-like como son: Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 CentOS 6.5, OpenSSL 1.0.1e-15 Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013 NetBSD 5.0.2 (OpenSSL 1.0.1e) OpenSUSE 12.2 (OpenSSL 1.0.1c) Increible verdad, este fallo está presente en grandes distros, por las versiones del la librería que usan, ahora bien hay otras grandes que no están afectadas como es el caso de SUSE Enterprise Linux, veamos: " Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14 SUSE Linux Enterprise Server FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013 FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013 FreeBSD Ports - OpenSSL 1.0.1g " Este es un fallo muy importante, recordemos que la mayor parte de los servidores de la gran Red de Redes funcionan bajo Linux (Ej: RHEL, CentOS, Debian, que son las distros que están mas presentas en servidores). Es para preocuparse un poco. Yo por mi parte uso Manjaro Linux y hace un rato atras estaba en la terminal y decidí comprobar actualizaciones, y claro habían, entra las varias actualizaciones ofrecidas estaba OpenSSL 1.0.1g la cual no es vulnerable, entonces ya con esto al generar certificados no estaría comprometiendo la seguridad. Entonces las recomendaciones serian: Parchear / actualizar Regenerar las nuevas llaves privada Enviar la nueva CSR a tu entidad certificador CA. Obtener e instalar el nuevo certificado firmado Revocar los viejos certificados. Bueno eso les quería venir a comentar, atención mas que nada los administradores de servidores, los que generamos certificados para VPN o para HTTPS por ejemplo, nunca está demas anotarse en alguna lista de correo de algún sitio de seguridad. Muchas Gracias por su atención señores. Fuente: http://blog.elhacker.net/2014/04/gr...openssl-llamada-Heartbleed-CVE-2014-0160.html
En Tumblr estaban recomendado cambiar las constraseñas a sus usuarios Pero ya están parchando así que no importa
