Encuentran una vulnerabilidad crítica en OpenSSL

Galbatorix · 8 Abr 2014

La llaman "Corazón sangrante" o Heartbleed, se encuentra en OpenSSL el grupo de programas criptográficos que permite la comunicacón encriptada usando una capa de datos segura o SSL. Esta vulnerabilidad, de ser explotada, permite a los atacantes robar datos directamente del origen. Afecta a servidores y a clientes.

Este error afecta diversas versiones de OpenSSL desde la 1.0.1 hasta la 1.0.1f y a muchos sistemas operativos: Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 y OpenSUSE 12.2. Además de las librerías OpenSSL, el programa de conexión SSH, afecta también a populares servidores de correo, como Apache y Nginx que se enlazan con estas librerías.

La falla es tan grave que es necesario crear nuevas claves y regenerar los certificados de seguridad SSL. Pueden leer la nota en PCWorld: Critical OpenSSL 'Heartbleed' bug puts encrypted communications at risk | PCWorld

Si necesitas ayuda con tu VPS o servidor para actualizar tu sistema y protegerte del Heartbleed, visita mi oferta en la Sección de Negocios.

Cicklow · 8 Abr 2014

Si hoy vi la noticia en Heartbleed - OpenSSL Zero-day Bug leaves Millions of websites Vulnerable - The Hacker News :devilish:

Galbatorix · 8 Abr 2014

cicklow dijo:
Si hoy vi la noticia en Heartbleed - OpenSSL Zero-day Bug leaves Millions of websites Vulnerable - The Hacker News :devilish:

Horror!

No ha salido la actualización para Ubuntu 12.04 y yo tengo un monton de cajas con esa versión y muchas tienen certificados... Para la 13.10 estuvo lista en la tarde de hoy.

Creo que ahora si me mato.

Cicklow · 8 Abr 2014

Galbatorix dijo:
Horror!

No ha salido la actualización para Ubuntu 12.04 y yo tengo un monton de cajas con esa versión y muchas tienen certificados... Para la 13.10 estuvo lista en la tarde de hoy.

Creo que ahora si me mato.

Yo tengo CentOS...tendre que ver si hay update

shadowhck · 8 Abr 2014

Para Debian 7 esta mañana aun no estaba disponible.

Godkoder · 8 Abr 2014

En Arch Linux tenemos la versión 1.0.1.g-1 de OpenSSL desde hace dos días.

Galbatorix · 8 Abr 2014

Y también afecto a Python... y a cualquier pinche programa que enlace a las mugres librerias...

Godkoder · 8 Abr 2014

Si alguien quiere comprobar si su sitio es vulnerable puede hacerlo con esta herramienta.

Galbatorix · 8 Abr 2014

Mamaaaa!!

Me quiero morir

Insertar CODE, HTML o PHP:

[B]443 IS VULNERABLE.[/B]

[COLOR=#34495E][FONT=Lato]Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)[/FONT][/COLOR]
([]uint8) {
 00000000  02 00 79 68 65 61 72 74  62 6c 65 65 64 2e 66 69  |..yheartbleed.fi|
 00000010  6c 69 70 70 6f 2e 69 6f  59 45 4c 4c 4f 57 20 53  |lippo.ioYELLOW S|
 00000020  55 42 4d 41 52 49 4e 45  97 66 d0 93 d2 7d c0 9a  |UBMARINE.f...}..|
 00000030  53 4c d8 9f f0 2f d2 47  88 3e de d6 99 28 14 03  |SL.../.G.>...(..|
 00000040  03 00 01 01 16 03 03 00  28 00 00 00 00 00 00 00  |........(.......|
 00000050  00 14 00 00 0c 7c 5b a0  42 4e dd e4 71 4f b0 08  |.....|[.BN..qO..|
 00000060  8e 8f 45 32 66 bf 5a a2  aa 2b b3 63 92 b2 65 9e  |..E2f.Z..+.c..e.|
 00000070  cf 65 0d 0a 41 63 63 65  70 74 3a 20 29 0b 0d a1  |.e..Accept: )...|
 00000080  73 b6 e9 3f 11 2e 80 3c  50 c2 fc 7d              |s..?...<P..}| [COLOR=#DA0A0A][FONT=Monaco]}[/FONT][/COLOR]

Cicklow · 8 Abr 2014

Godkoder dijo:
Si alguien quiere comprobar si su sitio es vulnerable puede hacerlo con esta herramienta.

Un server no afectado

All good, ***.***.com:443 seems not affected!

El otro afectado :/

([]uint8) {
00000000 02 00 79 68 65 61 72 74 62 6c 65 65 64 2e 66 69 |..yheartbleed.fi|
00000010 6c 69 70 70 6f 2e 69 6f 59 45 4c 4c 4f 57 20 53 |lippo.ioYELLOW S|
00000020 55 42 4d 41 52 49 4e 45 f3 c0 41 d7 c4 90 23 e6 |UBMARINE..A...#.|
00000030 9d 93 ca 60 b9 b3 07 70 d7 64 dd 7b 2e 44 2e 00 |...`...p.d.{.D..|
00000040 05 00 05 01 00 00 00 00 00 0a 00 08 00 06 00 17 |................|
00000050 00 18 00 19 00 0b 00 02 01 00 00 0d 00 0a 00 08 |................|
00000060 04 01 04 03 02 01 02 03 ff 01 00 01 00 73 6f 6e |.............son|
00000070 6c 69 6e 65 2e 6e 65 74 ff 01 00 01 78 87 16 66 |line.net....x..f|
00000080 a0 a7 b7 98 18 f6 61 30 36 c9 32 1e |......a06.2.|

Godkoder · 8 Abr 2014

No sois los únicos ni mucho menos, os recomiendo echar un vistazo al TOP 1000 de los sitios más importantes afectados para consolaros un poco.

ezefamo · 8 Abr 2014

¿Y aquí qué hay que hacer? ¿Contactar con el proveedor, o qué? ¿Para los que no sabemos nada de eso, tirarse los pelos y llorar?

Por lo que puedo intuir, esto es en verdad serio.

Galbatorix · 8 Abr 2014

ezefamo dijo:
¿Y aquí qué hay que hacer? ¿Contactar con el proveedor, o qué? ¿Para los que no sabemos nada de eso, tirarse los pelos y llorar?

Por lo que puedo intuir, esto es en verdad serio.

Es que afecta a servidores y clientes. Los que usamos certificados SSL en nuestros servidores somos especialmente vulnerables, al parecer es muy fácil detectar los sistemas afectados.

Bueno. Al parecer Ubuntu 12.10 actualizado no es vulnerable.

Pero no puedo decir lo mismo para Ubuntu 13.10. Sale un mega mensaje... de espanto... tantos programas que hay que actualizar y los certificados... va a tomar días sino semanas tapar los agujeros...

GatoRyuzaki · 8 Abr 2014

Si meten con RedTube, se meten conmigo

Cicklow · 8 Abr 2014

Bueno en el 1 server no esta vulnerable porque tengo la 1.0.0 XD... y las vulnerables son las 1.0.1... pero en el server 2 tengo la 1.0.1e asique toca actualizarla.

Gustavito · 8 Abr 2014

Menudo trabajo tendran algunos

hace un par de horas que no anda mi face tendra que ver?

Wytzklaw · 8 Abr 2014

Estaba leyendo esa nota hace un rato precisamente. 2 de 3 sitios afectados. De preocuparse seriamente como menciona Galba

Galbatorix · 8 Abr 2014

Ya está el parche en Ubuntu 13.10!!!!

La verdad creo que tenía que reiniciar nomás jijiji

Pero de revocar certificados, cancelar claves y regenerar csr, key y pem nadie me salva... van a ser días muy largos

ezefamo · 8 Abr 2014

Galbatorix dijo:
Es que afecta a servidores y clientes. Los que usamos certificados SSL en nuestros servidores somos especialmente vulnerables, al parecer es muy fácil detectar los sistemas afectados.

Entonces creo que hay dos cosas de qué preocuparse, de dos formas diferentes: quien controla los servidores, en teoría aunque sea mucho trabajo, hay conocimientos, el verdadero problema es para los "clientes" (al final todos lo somos).

¿Qué medidas hay que tomar, cómo prevenirse?

Creo que eso es de vital importancia, porque si no hay conciencia, no va a haber quién detenga esto.
Muchas gracias por tu respuesta.

Saludos.

Galbatorix · 8 Abr 2014

ezefamo dijo:
Entonces creo que hay dos cosas de qué preocuparse, de dos formas diferentes: quien controla los servidores, en teoría aunque sea mucho trabajo, hay conocimientos, el verdadero problema es para los "clientes" (al final todos lo somos).

¿Qué medidas hay que tomar, cómo prevenirse?

Creo que eso es de vital importancia, porque si no hay conciencia, no va a haber quién detenga esto.
Muchas gracias por tu respuesta.

Saludos.

Actualiza tus programas. No hay de otra. En Windows ni idea, la verdad.

En linux y Macs pues creo que es más fácil.