Fedora 29 ya está disponible

Ya está disponible para su descarga Fedora 29. Fedora Workstation, Fedora Server y Fedora Atomic.

Fedora 28 ya está disponible

Ya está disponible para su descarga Fedora 28. Fedora Workstation, Fedora Server y Fedora Atomic.

Fedora 27 ya está disponible

Ya está disponible para su descarga Fedora 27. Fedora Workstation, Fedora Server y Fedora Atomic.

Fedora 26 ya está disponible

Ya está disponible para su descarga Fedora 26. Fedora Workstation, Fedora Server y Fedora Atomic.

Fedora 25 ya está disponible

Ya está disponible para su descarga Fedora 25. Fedora Workstation, Fedora Server y Fedora Cloud.

miércoles, 9 de abril de 2014

The Heartbleed Bug: Seria vulnerabilidad en biblioteca OpenSSL

4/09/2014 03:16:00 p. m.   , , ,   No comments

El lunes 7 de Abril se publicó una vulnerabilidad en OpenSSL 1.0.1 que permitiría a un atacante obtener 64Kb de memoria.
La vulnerabilidad denominada Heartbleed, permite leer remotamente la memoria de cualquier sistema que utilice sesiones gestionadas con un OpenSSL vulnerable. Esta vulnerabilidad ha sido descubierta por Neel Mehta del equipo de Google Security, y el CVE reservado (CVE-2014-0160) fue creado el 3 de Diciembre de 2013.

El bug Heartbleed le permite a cualquiera en Internet leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves privadas usadas para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de usuarios y el contenido. Esto permite a los atacantes fisgonear las comunicaciones, robar datos directamente de los servicios y usuarios, y suplantar a los servicios y a los usuarios.
La información que se podría obtener sería la siguiente:
  • Claves privadas
  • Usuarios y contraseñas utilizadas en servicios vulnerables
  • Información sensible utilizada por servicios vulnerables
  • Direcciones de memoria y su contenido que podría permitir evadir mecanismos de mitigación ante exploits.
Puedes probar la seguridad de tu sitio web en http://filippo.io/Heartbleed.
Se ha puesto a disposición de todos un listado del TOP 1000 portales web según el ranking de ALEXA, mostrando si son vulnerables o no. El listado corresponde con el estado de dichas webs durante el 8 de abril siendo confeccionada tras la ejecución de la herramienta de comprobación de manera masiva.

Afortunadamente, esto se puede subsanar utilizando versiones no vulnerables
Versiones afectadas:
  • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
  • OpenSSL 1.0.1g is NOT vulnerable
  • OpenSSL 1.0.0 branch is NOT vulnerable
  • OpenSSL 0.9.8 branch is NOT vulnerable
Algunas distribuciones de sistemas operativos potencialmente vulnerables:
  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
En CentOS y Fedora actualiza a la última versión disponible a la fecha, openssl-1.0.1e
yum update openssl
Comprobamos
CentOS
[root@danispiri ~]# rpm -q --changelog openssl
* lun abr 07 2014 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
Fedora
[danispiri@danispiri ~]$ rpm -q --changelog openssl
* lun abr 07 2014 Dennis Gilmore <dennis@ausil.us> - 1.0.1e-37.1
- pull in upstream patch for CVE-2014-0160
- removed CHANGES file portion from patch for expediency

Fuente: Heartbleed, Security By Default, Segu-Info, Kriptópolis, Segu-Info

Leer más
Suscribirse a: Entradas ( Atom )