Vulnerabilidad crítica en OpenSSL: The heart bleed bug
Una gran cantidad de servicios disponibles en internet (principalmente Apache, Nginx, entre otros), hacen uso de la librería OpenSSL para asegurar las comunicaciones, haciendo uso del protocolo SSL/TLS.
Las versiones vulnerables son las comprendidas entre la versión 1.0.1 hasta la 1.0.1f inclusive y 1.0.2-beta. La versión 1.0.1g ya corrige este problema. Cabe destacar que no se tiene una manera de mitigar este problema que no sea actualizando a una versión sin el problema o “recompilando” la librería con la opción -DOPENSSL_NO_HEARTBEATS.
La vulnerabilidad CVE-2014-0160, denominada “The heart bleed bug”, permite obtener información cifrada según el protocolo SSL/TLS, permitiendo a un atacante obtener información sensible - clave privada, información cifrada, clave de sesión, entre otros- del servidor y de las comunicaciones.
Debido a esto es importante actualizar cuanto antes los sistemas en caso de confirmar su vulnerabilidad.
Además del alto impacto y de la cantidad de servicios afectados en toda Internet, otra de las características de esta vulnerabilidad es que el atacante no deja rastros por lo que es imposible identificar quienes ya han sido víctimas.