We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

[URGENTE ADMINISTRADORES DE SISTEMAS] Descubren un gran error en OpenSSL (Heartbleed)


Siliconworld
11/04/2014, 04:37
Buenas,

Por si queréis testear la vulnerabilidad: http://filippo.io/Heartbleed/

En mi caso ha verificado correctamente el positivo de la vulnerabilidad, después he aplicado la actualización en CentOS 6.5 de "openssl-1.0.1e-16.el6_5.7.x86_64", reiniciado Apache y al volver a testear ya informaba que no estaba afectado por la vulnerabilidad.

Un Saludo.

RME
10/04/2014, 19:33
Cita Publicado inicialmente por kennysamuerto
No exactamente.

Hay que reiniciar todos los servicios que dependan de SSL. Paneles de control, apache, nginx si lo hubiese, servidor de correo... En fin bastantes cosas, no solo Apache.

Si no se esta seguro, reiniciar el servidor.

Saludos
Ya, era solamente una pequeña ayuda para la mayoria de los usuarios inexpertos.
Si se quiere hacer bien también debes revocar tu actual certificado SSL, conseguir uno nuevo, cambiar diversas contraseñas que puedan haber sido filtradas (basicamente todo lo que ha podido pasar por la RAM del servidor) y hacer un reinicio completo.

maxpaynecu
10/04/2014, 18:16
Cita Publicado inicialmente por kuriana
Me llegó ayer un email de online.net avisándome del fallo, listandome cuales de mis servidores estaban afectados e indicándome como solucionarlo.
Igualito que aquí que si no es por los pocos usuarios que aún quedan ni de publica en el foro.
OHH online osea que te aviza de algunas cosas como esta bueno saber eso un punto mas ....

kuriana
10/04/2014, 16:34
Me llegó ayer un email de online.net avisándome del fallo, listandome cuales de mis servidores estaban afectados e indicándome como solucionarlo.
Igualito que aquí que si no es por los pocos usuarios que aún quedan ni de publica en el foro.

oceano
10/04/2014, 10:35
Hola, buenos días !

Muchas gracias por el aporte.

************************************************** *******************************

What versions of the OpenSSL are affected?

Status of different versions:
•OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
•OpenSSL 1.0.1g is NOT vulnerable
•OpenSSL 1.0.0 branch is NOT vulnerable
•OpenSSL 0.9.8 branch is NOT vulnerable

Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

************************************************** *******************************

Fuente: http://heartbleed.com/


Un saludo !

sostenible
10/04/2014, 10:34
¡Gracias, especialmente por la rapidez de la respuesta! ¡Menudo peso me has quitado de encima!

kennysamuerto
10/04/2014, 10:30
Cita Publicado inicialmente por sostenible
Hola. Tengo un servidor en OVH con ubuntu 10.04 LTS. Tras un apt-get update && apt-get upgrade y reiniciar ssh y apache2, veo que la versión sigue siendo OpenSSL 0.9.8k 25 Mar 2009, built on: Tue Jun 4 07:31:34 UTC 2013.

¿El problema es que no hay versión para Ubuntu 10.04 o el problema son los mirrors de OVH?

Incluyo a continuación mi sources.list, por si creeis que procede descomentar (sin comprometer la estabilidad del servidor) alguno de los repositorios:

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid main restricted
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid main restricted

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates main restricted
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates main restricted

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid universe
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid universe
deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates universe
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates universe

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid multiverse
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid multiverse
deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates multiverse
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates multiverse

# deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse
# deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse

# deb http://archive.canonical.com/ubuntu lucid partner
# deb-src http://archive.canonical.com/ubuntu lucid partner

deb http://security.ubuntu.com/ubuntu lucid-security main restricted
deb-src http://security.ubuntu.com/ubuntu lucid-security main restricted
deb http://security.ubuntu.com/ubuntu lucid-security universe
deb-src http://security.ubuntu.com/ubuntu lucid-security universe
deb http://security.ubuntu.com/ubuntu lucid-security multiverse
deb-src http://security.ubuntu.com/ubuntu lucid-security multiverse

#deb ftp://parallels.mirrors.ovh.net/para...tu/PSA_11.5.30 lucid all
#deb ftp://parallels.mirrors.ovh.net/para...UILDER_11.5.10 all all
#deb ftp://parallels.mirrors.ovh.net/para...ILLING_11.5.30 all all

Gracias por la ayuda!
No, en tu caso no hay problema. Tu version no esta afectada por la vulnerabilidad.

Saludos

sostenible
10/04/2014, 10:26
Hola. Tengo un servidor en OVH con ubuntu 10.04 LTS. Tras un apt-get update && apt-get upgrade y reiniciar ssh y apache2, veo que la versión sigue siendo OpenSSL 0.9.8k 25 Mar 2009, built on: Tue Jun 4 07:31:34 UTC 2013.

¿El problema es que no hay versión para Ubuntu 10.04 o el problema son los mirrors de OVH?

Incluyo a continuación mi sources.list, por si creeis que procede descomentar (sin comprometer la estabilidad del servidor) alguno de los repositorios:

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid main restricted
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid main restricted

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates main restricted
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates main restricted

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid universe
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid universe
deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates universe
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates universe

deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid multiverse
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid multiverse
deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates multiverse
deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-updates multiverse

# deb ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse
# deb-src ftp://mirror.ovh.net/mirrors/ftp.ubuntu.com/ubuntu/ lucid-backports main restricted universe multiverse

# deb http://archive.canonical.com/ubuntu lucid partner
# deb-src http://archive.canonical.com/ubuntu lucid partner

deb http://security.ubuntu.com/ubuntu lucid-security main restricted
deb-src http://security.ubuntu.com/ubuntu lucid-security main restricted
deb http://security.ubuntu.com/ubuntu lucid-security universe
deb-src http://security.ubuntu.com/ubuntu lucid-security universe
deb http://security.ubuntu.com/ubuntu lucid-security multiverse
deb-src http://security.ubuntu.com/ubuntu lucid-security multiverse

#deb ftp://parallels.mirrors.ovh.net/para...tu/PSA_11.5.30 lucid all
#deb ftp://parallels.mirrors.ovh.net/para...UILDER_11.5.10 all all
#deb ftp://parallels.mirrors.ovh.net/para...ILLING_11.5.30 all all

Gracias por la ayuda!

kennysamuerto
09/04/2014, 22:43
Cita Publicado inicialmente por RME
Para los usuarios menos expertos basicamente para arreglar el bug hay que actualizar OpenSSL y reiniciar Apache.

CentOS y similares:


Ubuntu Server y similares:
No exactamente.

Hay que reiniciar todos los servicios que dependan de SSL. Paneles de control, apache, nginx si lo hubiese, servidor de correo... En fin bastantes cosas, no solo Apache.

Si no se esta seguro, reiniciar el servidor.

Saludos

RME
09/04/2014, 20:44
Para los usuarios menos expertos basicamente para arreglar el bug hay que actualizar OpenSSL y reiniciar Apache.

CentOS y similares:
yum update -y
service httpd restart
Ubuntu Server y similares:
apt-get upgrade
service apache2 restart

davidlig
09/04/2014, 08:56
Se llama Heartbleed (corazón sangrante)

Se sepa más o menos sobre seguridad informática, a estas alturas la mayoría tiene claro que es algo cada vez más importante, y que cuando un número considerable de expertos en la materia ponen la voz en grito sobre algo, es que hay que preocuparse. Pues justo esto acaba de ocurrir en las últimas horas, en concreto a causa de un bug serio recién detectado en OpenSSL, una de las bibliotecas de criptografía más utilizadas de la World Wide Web.

Metiéndonos en material, el fallo de seguridad ha sido descubierto por un grupo de investigadores que trabajan en Google y en la empresa de software de seguridad Codenomicon el cual han bautizado con el nombre de Heartbleed. Afinando un poco más, el mismo nace de un error de implementación de la función heartbeat de OpenSSL (de ahí el nombre) y la gravedad radica en que estamos ante un bug de primer nivel, o sea que se puede explotar, en este caso para comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

Tan peligroso es el asunto que los mentados investigadores han lanzado una página dedicada por entero a desgranar el bug y a responder preguntas relacionadas con él. Por ejemplo en ella explican que la vulnerabilidad en el popular OpenSSL permite que cualquier atacante pueda leer la memoria de los sistemas protegidos por las versiones vulnerables de la biblioteca -desde la 1.0.1 hasta la 1.0.1f incluida- y como consecuencia de eso extraer las claves secretas utilizadas para identificar a los proveedores legítimos de servicios y cifrar el tráfico, los nombres y contraseñas de los usuarios y demás.

«¿Y qué significa lo expuesto a efectos prácticos?» os estaréis preguntando. Pues entre otras cosas a nivel de usuario que si alguien ataca algún servicio/aplicación web o cualquier otra cosa que proteja la información sensible con alguna de las versiones vulnerables de OpenSSL explotando el bug que nos ocupa, podrá «capturar» y desencriptar desde nombres de usuario hasta contraseñas pasando por tarjetas de crédito o conversaciones. O también hacerse pasar por un sitio legítimo sin que el navegador web lo detecte y engañar al usuario (por ejemplo si la banca online de X entidad usara OpenSSL y un tercero robara sus llaves, ese tercero podría montar una web-clon de la banca que haría llegar a los usuarios y si alguno accediera, el navegador lo detectaría como el auténtico).

Por desgracia los usuarios nada podemos hacer para protegernos, todo está en manos de los administradores de sistemas. Esperemos que la mayoría ya estén instalando la última versión de OpenSSL lanzada ayer mismo en la que se ha corregido el error, y si eres uno de ellos y aún no lo ha hecho, por el bien de todos deberías instalarla lo antes posible.

Fuente: http://www.abc.es/tecnologia/informa...404081819.html

PD: Para los que tenemos Debian ya hay una nueva versión desde ayer.