Vulnerabilidad OpenSSL (Heartbleed)

Standard

OpenSSL-HeartBleed-Bug-logo

La vulnerabilidad fue descubierta el 7 de este mes, antes de que la vulnerabilidad sea reportada en el sitio empresas como SUSE o Red Hat ya estaban trabajando en el parche, lo cual provocó un gran descontento hacia los encargados de OpenSSL ya que en el blackout podrían haberse salvado muchos casos.

Ingenieros de Google y de la firma de seguridad Codenomicon han descubierto una grave vulnerabilidad en el sistema de administración de cifrado OpenSSL, muy utilizado para accesos seguros en sitios HTTPS y por defecto para el cifrado de servidores Apache o nginx.

Denominada como Heartbleed, dicen que puede ser la vulnerabilidad de mayor alcance de la historia de la Web ya que podría alcanzar a dos tercios de servidores de Internet que usan este paquete de administración y bibliotecas de cifrado.

El bug permitiría a un pirata informático superar el cifrado y leer la memoria de los sistemas protegidos por las versiones vulnerables de OpenSSL, accediendo a datos protegidos, comprometiendo comunicaciones en aplicaciones de correo electrónico, mensajería instantánea, redes privadas virtuales o sitios web, obteniendo nombres y contraseñas de acceso, tarjetas de crédito y todo tipo de datos.

Una vulnerabilidad muy seria por su amplio alcance, que ya está corregida en la última versión del software OpenSSL 1.0.1g a la que se recomienda encarecidamente actualizar desde las todavía vulnerables versiones 1.0.1 hasta la 1.0.1f. También revocar certificados SSL que se hubieran visto afectados, actualizar distribuciones GNU/Linux y aplicaciones que incluyen OpenSSL y el software de los servidores. Algo que está en marcha en medio mundo.

Aunque la vulnerabilidad está presente al menos hace dos años, no se conoce su grado de explotación. Parece mínimo o nulo porque si no nos hubiéramos enterado (pero bien) ante su potencial. En lo positivo, destacar la prontitud de la liberación de la versión corregida, algo habitual en software libre. Red Hat, Debian, SuSE, Canonical, y Oracle, por citar solo algunas, trabajan a un ritmo febril para ofrecer las versiones parcheadas de OpenSSL a sus clientes. Algo que estaría disponible en horas como la corrección para OpenSSL 1.0.2 también vulnerable que será actualizada a la 1.0.2 beta2.

En lo negativo (además de la vulnerabilidad en sí) llegan críticas por el anuncio público del bug cuando desde OpenSSL y otras grandes firmas ya se estaba trabajando en su corrección. Un intervalo que podría haber sido aprovechado para sembrar el caos en la Web por la presencia de OpenSSL, utilizado en dos tercios de servidores de Internet.

Visto en | MuyComputer

Linux celebra sus 20 aniversario…

Standard

The Linux Fundation, celebra el aniversario de Linux, y como no podía ser mejor, nos muestra un paneo de su historia a través de una linea del tiempo con los hechos mas destacados.

Comenzando en el año 1991 cuando Linus Tolvards, en aquel entonces estudiante de la Universidad de Helsinki, creo las primeras Lineas de Código y mando el famoso mensaje (The Creation of Linux) a toda la comunidad.

Pasando por la decisión de Linus de liberarlo bajo licencia GPL, la importancia de Linux para varias empresas y su incorporación al mundo móvil gracias a Android.

Concluyendo. Linux cumple 20 años, utilizado en el 90% supercomputadoras del mundo, bolsas de valores, teléfonos, cajeros automáticos, registros de salud, redes eléctricas inteligentes, y la lista sigue…

Actualizacion: Se agrego el vídeo que distribuye la fundación…

Mas info | http://www.linuxfoundation.org/20th/