El error Heartbleed permite a cualquier persona en el Internet para leer la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, se roban los datos directamente de los servicios y de los usuarios y para suplantar a los servicios y los usuarios.
¿Qué versiones de OpenSSL se ven afectados?
Situación de las diferentes versiones:
OpenSSL 1.0.1 través 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g NO es vulnerable
OpenSSL 1.0.0 rama NO es vulnerable
OpenSSL 0.9.8 rama NO es vulnerable
Bug se introdujo en OpenSSL en diciembre de 2011 y ha estado en la naturaleza desde OpenSSL liberar 1.0.1 el 14 de 2012 Marzo. OpenSSL 1.0.1g lanzado el 07 de abril 2014 corrige el error.
Algunas distribuciones de sistemas operativos que se envían con la versión potencialmente vulnerable de OpenSSL:
Debian Wheezy (estable), OpenSSL 1.0.1e-2 + deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 de mayo 2012) y 5.4 (OpenSSL 1.0.1c 10 de mayo 2012)
FreeBSD 10.0 - 1.0.1e de OpenSSL 11 de febrero 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Información suministrada por TENABLE NETWORK SECURITY, NESSUS
No hay comentarios:
Publicar un comentario