OpenSSL es una de las bibliotecas más populares que suministran servicios de criptografía. Se usa especialmente en servidores como Apache o nginx. Recientemente, se descubrió un bug que afecta a alguna de sus versiones y las hace vulnerables a un ataque y al robo de información.

El nombre oficial del bug es CVE-2014-0160, pero ha sido nombrado Heartbleed (sangrado de corazón) por las filtraciones que puede llegar a causar. En concreto, esta falla hace que algunos sitios que proveen servicios como correo o mensajería instantánea que usan OpenSSL sean vulnerables a ataques.

Los servicios de encriptación aseguran la información que va de un servidor a un cliente, un navegador o una aplicación y viceversa. Heartbleed puede provocar que información valiosa como certificados, datos personales, claves de acceso o passwords sean robados de los servidores.

servidor

De acuerdo a lo que afirman sus descubridores, el bug no permite que se realicen ataques específicos. Es decir, con cada ataque se pueden filtrar hasta  64 kilobytes de información, pero los hipotéticos atacantes pueden repetir la operación hasta apoderarse de información importante. Si alguien se apodera de una llave de encriptación, sería capaz de descifrar las comunicaciones pasadas o futuras entre un servidor y un cliente.

Las versiones afectadas son OpenSSL 1.0.1 y 1.0.1f. Muchos prestadores de servicios ya han tomado medidas, pero algunos otros como Yahoo o Imgur siguen vulnerables. Puedes revisar el estatus de varias páginas aquí.

vía Fayer Wayer

fuente The Heartbleed Bug

temas