docDescripción de la vulnerabilidad Cómo confirmar
download 
Demanda Transcripción
Descripción de la vulnerabilidad Cómo confirmar
8 abril 2014 Este es un aviso especial sobre una vulnerabilidad en OpenSSL CVE-2014-0160 identificada como heartbleed. Un sitio especial fue creado por los investigadores de seguridad para centralizar la información acerca de la vulnerabilidad: http://heartbleed.com. La información contenida en este documento está compuesta de notificaciones procedentes de múltiples fuentes confiables que monitoreamos con el fin de mantenernos al día con los últimos avances en seguridad de la información. Le hacemos llegar esa notificación porque que creemos que puede ser de interés para la mayoría de nuestros clientes y contactos de negocio. Descripción de la vulnerabilidad “The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs). The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.” Cómo confirmar su versión de OpenSSL Para confirmar la versión de openSSL que está usando, favor considerar las siguientes pruebas: Manual test: $ echo -e "quit\n" | openssl s_client -connect host_name:443 -tlsextdebug 2>&1| grep 'TLS server extension "heartbeat" (id=15), len=1' Online Tests: http://filippo.io/Heartbleed/ http://possible.lv/tools/hb/ https://www.ssllabs.com/ssltest/ Cómo reparar la vulnerabilidad Upgrade OpenSSL a la versión 1.0.1g. Referencias Ver abajo para una descripción muy interesante de la situación: http://heartbleed.com/ http://sseguranca.blogspot.ca/2014/04/heartbleed-ssl-bug.html http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/ http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html OpenSSL TLS Heartbeat Buffer Overread deja usuarios remotos obtener información potencialmente sensible SecurityTracker Alert ID 1030026 SecurityTracker URL http://securitytracker.com/id/1030026 CVE Reference CVE-2014-0160 Updated 8 abril 2014 Original Entry Date 8 abril2014 Impacto Disclosure of authentication information, Disclosure of system information, Disclosure of user information Fix Available Yes Vendor Confirmed Yes Versión(es) 1.0.1 through 1.0.1f; 1.0.2-beta Descripción Una vulnerabilidad fue reportada en OpenSSL. Un usuario remoto puede obtener información potencialmente sensible. Un cliente remoto o servidor puede provocar un buffer overread en el proceso de la extensión del heartbeat TLS para obtener hasta 64k de memoria (por solicitud de los heartbeats), que puede incluir las claves de cifrado. La vulnerabilidad se introdujo al código fuente en diciembre de 2011 y en versión release 1.0.1 en marzo del 2012. Neel Mehta de Google Security reportó esta vulnerabilidad. Impacto Un usuario remote puede obtener información potencialmente sensible, incluyendo claves de inscripción. Solución El vendedor emitió un fix (1.0.1g; fix pending for 1.0.2-beta2). Las claves de encrypcion usadas con versiones vulnerables pueden haber sido comprometidas y deberian estar reemplazadas. El consejo del vendedor está disponible al: http://www.openssl.org/news/secadv_20140407.txt Vendor URL www.openssl.org/news/secadv_20140407.txt Causa Access control error, Boundary error Underlying OS Linux (Any), UNIX (Any), Windows (Any) A propósito de nosotros Above Security crea y ofrece servicios personalizados para la vigilancia y la protección 24/7 de los activos de TI más críticos y sensibles en las infraestructuras de nuestros clientes. Con un enfoque en la gestión del riesgo y la mejora continua de nuestros procesos de respuesta a incidentes y de nuestra tecnología, nuestros clientes cuentan con nosotros para proporcionar las soluciones adecuadas para sus negocios – de forma rápida, eficaz y con experiencia más allá de los estándares de la industria. www.abovesecurity.com Contáctenos Canadá Suiza United Arab Emirates Estados Unidos Sede principal Above Security Europa Above Security Middle East Above Security USA +1 450 430 8166 +41 (0) 22 365 7510 +971 481 37 758 +1 450 430 8166 [email protected] [email protected] [email protected] [email protected]
