Investigadores de seguridad han descubierto un bug crítico en el popular paquete de seguridad OpenSSL que afecta potencialmente a dos tercios de los servidores de todo Internet. El defecto bautizado como Heartbleed Bug hace posible extraer datos de cualquier servidor que haga uso de una versión del software OpenSSL que haya sido lanzada durante los últimos dos años.
La explotación del bug permite obtener claves privadas de cifrado, abriendo el acceso a la totalidad del contenido de cada servidor sin interferencia de las medidas de seguridad. Dado el acceso a las credenciales privilegiadas los ataques que utilizan esta vía de entrada no dejan rastros en los equipos, por lo que no es posible conocer cuándo se ha aprovechado el fallo de forma activa.
El bug ha sido descubierto por miembros del equipo de Google y de la firma de seguridad Codenomicon que colaboran con el proyecto OpenSSL. Los responsables de la librería han publicado hace unas horas un parche de emergencia junto a una advertencia de seguridad recomendando la actualización inmediata de las versiones que van de la 1.0.1 a la 1.0.1f.
Pese a la rauda actuación del proyecto OpenSSL el informe de seguridad señala que, incluso con el parche, los servidores que utilicen estas librerías podrían seguir siendo vulnerables debido a la extracción de claves de usuario o certificados digitales. Del mismo modo se destaca que el largo recorrido del bug junto a la imposibilidad de detectar intrusiones no permite conocer el verdadero alcance de la vulnerabilidad.
OpenSSL es con mucha diferencia el paquete de seguridad de código abierto más popular de la Red y se utiliza como el motor de codificación por defecto para los servidores Apache y nginx, los cuales conforman el 66% de Internet según cifras de Netcraft. El software también acompaña a todo tipo de aplicaciones y sistemas operativos entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.
La explotación del bug permite obtener claves privadas de cifrado, abriendo el acceso a la totalidad del contenido de cada servidor sin interferencia de las medidas de seguridad. Dado el acceso a las credenciales privilegiadas los ataques que utilizan esta vía de entrada no dejan rastros en los equipos, por lo que no es posible conocer cuándo se ha aprovechado el fallo de forma activa.
El bug ha sido descubierto por miembros del equipo de Google y de la firma de seguridad Codenomicon que colaboran con el proyecto OpenSSL. Los responsables de la librería han publicado hace unas horas un parche de emergencia junto a una advertencia de seguridad recomendando la actualización inmediata de las versiones que van de la 1.0.1 a la 1.0.1f.
Pese a la rauda actuación del proyecto OpenSSL el informe de seguridad señala que, incluso con el parche, los servidores que utilicen estas librerías podrían seguir siendo vulnerables debido a la extracción de claves de usuario o certificados digitales. Del mismo modo se destaca que el largo recorrido del bug junto a la imposibilidad de detectar intrusiones no permite conocer el verdadero alcance de la vulnerabilidad.
OpenSSL es con mucha diferencia el paquete de seguridad de código abierto más popular de la Red y se utiliza como el motor de codificación por defecto para los servidores Apache y nginx, los cuales conforman el 66% de Internet según cifras de Netcraft. El software también acompaña a todo tipo de aplicaciones y sistemas operativos entre los que se incluyen las distribuciones Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD y OpenSUSE.
Tan casualidad como el backdoor de RSA...
No lo dudes. A mi abuela no la hackean.
OpenBSD y FreeBSD han cambiado su kernel y sys a GNU/Linux y ahora son distribuciones Linux? Primera noticia que tengo.
[/sarcasm]
OpenBSD y FreeBSD, tal como su nombre indica son unix BSD, no Linux.
Ninja edit:
http://es.wikipedia.org/wiki/Linux
http://es.wikipedia.org/wiki/Berkeley_S ... stribution
El día que quieran acabar con Internet, se hará por esta vía.
No acabarán con internet... acabarán con nuestra privacidad y con el tiempo dejará de preocuparnos a fuerza de costumbre. Triste, si, pero real como la vida misma.
}:/
Si descubren un bug lo mas logico es taparlo y no decir nada, porque si yo fuera un haker y veo la noticia lo primero que aria seria ir a atacar alguna web que me tiene tirria y publicar lista de mails y paswords por internet o intentar sacarle la pasta a alguien. No os parece? a no ser que publiquen la noticia meses despues de arreglar el fallo.