Un error muy grave en la seguridad de OpenSSL amenaza internet

Escrito por Rubén Velasco
Redes
0

Para aquellos que no conozcan OpenSSL, es una biblioteca criptográfica utilizada para cifrar gran parte del tráfico que se envía a través de internet de una manera segura y eficiente. OpenSSL es un proyecto basado en software libre que a su vez se utiliza en un gran número de aplicaciones conocidas como OpenSSH y la mayoría de navegadores web a la hora de cifrar el tráfico.

Hace pocas horas, un error muy grave ha sido descubierto en OpenSSL y se ha publicado toda la información sobre este de manera que todos los usuarios de internet a nivel mundial se encuentran actualmente expuestos a él.

Esta vulnerabilidad ha sido denominada por los investigadores como Heartbleed. En resumen, con ella se puede engañar a cualquier sistema que utilice una versión de OpenSSL de hasta 2 años de antigüedad a que revele fragmentos de datos que se encuentren alojados en la memoria del sistema. Esto puede permitir que en un intento de recuperar dicha información se consigan las claves privadas utilizadas para cifrar los datos y, con ellas, se consiga tener acceso completo a los datos que, aparentemente, habían sido cifrados y enviados de forma segura.

Esta vulnerabilidad lleva presente desde diciembre de 2011, es decir, desde la versión 1.0.1 de OpenSSL hasta la actual 1.0.1f publicada en enero de este mismo año, aunque no ha sido hasta hoy cuando ha sido descubierta y publicada.

heartbleed_openssl

Un ejemplo de la envergadura de esta vulnerabilidad es, por ejemplo, que el servidor web Apache, utilizado por aproximadamente el 50% de las páginas web a nivel mundial, utiliza OpenSSL, por lo que todo el tráfico que se genere en ellos quedará vulnerable.

Podemos tener un seguimiento actualizado sobre el avance de esta vulnerabilidad desde la página web oficial de Heartbleed. Estaremos pendientes para informar sobre los avances de esta vulnerabilidad y anunciar tan pronto como sea posible la solución a esta vulnerabilidad que ha afectado a la mayoría de las conexiones de internet “seguras”.

¿Eres usuario de OpenSSL? ¿Qué opinas de esta vulnerabilidad?

Fuente: Phoronix