|
Novedades / Eventos |
|
|
Vulnerabilidad en OpenSSL: Heartbleed |
|
|
|
|
|
Macroseguridad.org, mayorista líder en seguridad informática, informa a todos los usuarios de Certificados SSL que Ingenieros de Google y de la firma de seguridad Codenomicon han descubierto una grave vulnerabilidad en la librería de software criptográfica de OpenSSL utilizada para la protección y el acceso seguro de la información en Internet a través de los protocolos SSL/TLS en sitios web bajo servidores Apache o nginx. |
|
El bug Heartbleed permite a un atacante en Internet quebrantar la seguridad del sistema y acceder a información protegida por las versiones vulnerables de OpenSSL 1.0.1 a 1.0.1f incluida. Esto puede comprometer las llaves criptográficas utilizadas para proteger el tráfico de datos sensible en las comunicaciones tales como correo electrónico, mensajería instantánea, VPNs o sitios web; provocando la obtención de nombres y contraseñas de acceso, tarjetas de crédito y todo tipo de datos sensibles. |
|
El bug Heartbleed no es una falla de los protocolos SSL/TSL, ni tampoco está relacionado a fallas en los certificados digitales emitidos por las Autoridades de Confianza (CA); es un problema en la implementación de OpenSSL para la funcionalidad heartbeat sobre TLS/DTLS. |
|
Macroseguridad.org quiere dejar en claro que esta vulnerabilidad responde a un error en el Software de OpenSSL, no a los protocolos SSL/TSL ni los Certificados SSL o Certificados Raíz de Comodo, cuyas claves no están afectadas ni fueron nunca comprometidas. |
|
Esta vulnerabilidad ya se encuentra solucionada en la última versión del software OpenSSL 1.0.1g. Como medida de seguridad se recomienda de forma urgente realizar las siguientes acciones:
- Actualice todas las versiones vulnerables de OpenSSL, desde 1.0.1 hasta la 1.0.1f, a la versión 1.0.1g.
- Luego de actualizar OpenSSL, analice su certificado SSL ingresando su URL en: sslanalyzer.comodoca.com
- Si su certificado se viera afectado, comuníquese con nosotros para revocar su Certificado actual y reemitir un Certificado nuevo sin ningún costo.
- Macroseguridad.org-Comodo tienen como politica de hace años la re-emision sin cargo de sus certificados
- Informe a sus usuarios sobre la vulnerabilidad detectada y qué acciones tomar.
|
|
Para mayor información sobre esta vulnerabilidad, visite: www.heartbleed.com
|
|
|
|
|
|
|
|
|