OpenSSL Heartbleed: Pesadilla con 2 años de vida

el

La vulnerabilidad conocida como Heartbleed en OpenSSL descubierta por Neel Mehta, de Google Security, fue introducida en Marzo de 2012 con el lanzamiento de la versión 1.0.1, cuando se comenzó a dar soporte a la funcionalidad TLS/DTLS heartbeat y finalmente corregida el 07 de Abril 2014 con la version 1.0.1g.

¿Qué ha pasado en esos dos años?

¡Muchas cosas! diria yo. Si bien esta vulnerabilidad se hizo pública el 7 de Abril de 2014, con el lanzamiento de la versión 1.0.1g que la corrige, no significa que la misma no se haya explotado antes, muchas empresas importantes reaccionaron y aplicaron los correctivos de forma inmediata, sin embargo he podido observar como grandes empresas respondieron de forma tardía y aplicaron los parches hasta una semana después y otras aún siguen sin responder a la amenaza.

Las herramientas para explotar esta vulnerabilidad ya estan públicamente disponibles y el mundo esta lleno de gente curiosa con ganas de probar algo. Mi recomendación es que los responsables de tecnología deben responder rápidamente a esta situación y aplicar los correctivos.

¿En que consiste la falla?

De acuerdo a la información publicada por los desarrolladores en su sitio Web, la falla consiste en una falta de comprobación de los límites de memoria en los programas que manejan la funcionalidad TLS heartbeat introducida en la versión 1.0.1, permite que un atacante pueda extraer hasta 64 Kb de datos del área de memoria utilizado por los procesos de cifrado donde se guarda temporalmente información sensible, tales como la llave privada de los certificados x.509, nombres de usuarios y claves, entre otras.  Esta es una falla generada durante el proceso de desarrollo y no esta relacionada con la definición del estándar, por lo que hasta el momento se descarta que esté afectando a otras implementaciones de SSL/TLS.

Esta vulnerabilidad en particular es muy peligrosa, por la información que queda expuesta, por eso mi llamado de alerta para que los administradores de sistemas apliquen los correctivos a la brevedad.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s