Hace poco habíamos hablado de un fallo importante en GnuTLS, una librería SSL para Linux que se encarga de la gestión de certificados de seguridad, y cuando eso ya comenzaba a estar olvidado vuelve a aparecer un problema bastante importante como es el descubierto por Neel Mehta (del equipo de seguridad de Google) en OpenSSL, y que han dado en bautizar como Heartbleed.
Se trata de un fallo importante en la función que se encarga de la gestión de mensajes Heartbeat, que son utilizados como ‘keep-alive’ es decir que básicamente nos permiten avisar a los servidores a los cuales nos hemos conectado que seguimos estando allí para que la conexión no sea cerrada. El problema es que la implementación actual, presente en todas las distros de Linux y también en Windows y Mac OS X, permite que se puedan robar datos que los servidores tengan almacenados.
Esto sería posible si los atacantes repitieran los ataques a los servidores, tras lo cual podrían ir obteniendo ‘pedazos de información’ que pueden ser de hasta 64 Kb de la memoria de los mismos, y aunque se trata de posiciones de memoria completamente aleatorias lo cierto es que nadie sabe que puede llegar a haber en ellas: podría tratarse de claves, de datos de tarjetas de crédito o incluso más importantes.
Por suerte el mundo del software libre no vive de algo como el Patch Tuesday ni nada que se le parezca y tiene una velocidad para reparar fallos que en entornos propietarios no pueden siquiera imaginar, y la solución a esta vulnerabilidad ya está corregida. Sólo hay que actualizar el sistema, lo cual además de otros paquetes nos actualizará los que nos importan en este caso: ssh, openssl, openssh-client, openssh-server (esto puede variar de acuerdo a lo que tengamos instalado en nuestro sistema).
Más información: OpenSSL Advisory
El artículo Heartbleed: la vulnerabilidad en OpenSSL ya fue corregida ha sido originalmente publicado en Linux Adictos.