Login Barrapunto
Heartbleed, un enorme fallo de seguridad
Un pobrecito hablador nos cuenta: «Un enorme fallo de seguridad que permite penetrar en ordenadores para recuperar código y contraseñas ha sido descubierto por un informático de Google y afecta a OpenSSL, usado por la mitad de los sitios web del mundo; o por casi dos de cada tres servidores según The Verge. En FoxIT comentan que este fallo está presente desde hace dos años y permite recuperar información de los servidores de diferentes formas. FoxIT da algunos procedimientos para contrarrestar los ataques. Más información en HeartBleed.com/. Según The New York Times se podrían haber recuperado ya contraseñas de Yahoo! y Tumblr empleando esta vulnerabilidad. Puedes probar la seguridad de tu sitio web en http://filippo.io/Heartbleed/. ¿Y tú, estabas de vacaciones estos últimos dos años en lugar de revisar el código de OpenSSL y avisarnos del fallo?»
Historias relacionadas
[+]
Software Libre: La Linux Foundation financiará el desarrollo de OpenSSL 38 comentarios
Un pobrecito hablador nos cuenta: «Tras el enorme fallo de seguridad que supuso Heartbleed, (listado de sitios afectados), se puso de manifiesto que la gestión del proyecto no se estaba realizando de la manera correcta. ¿Cuáles han sido las soluciones?. El proyecto OpenBSD afirma que el problema es la incompetencia manifiesta de los programadores de OpenSSL, y por ello sólo hay una solución: crear un fork y limpiar el código creando LibreSSL. La Linux Foundation cree que es un problema de financiación, y por ello acaba de anunciar la creación de la Core Infrastructure Initiative (CII) junto con una docena de las mayores compañías tecnológicas del mundo: Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace y VMware. Cada compañía donará a la Linux Foundation un mínimo de 100.000 dólares al año, durante un mínimo de tres años. También se admiten pequeñas donaciones de particulares vía PayPal. La intención del proyecto es dar apoyo económico a proyectos Open Source que se hayan convertido en elementos críticos de la infraestructura global de telecomunicaciones. Y el primer proyecto beneficiado será OpenSSL. La Linux Foundation presenta su iniciativa como algo similar al papel que tienen ahora pagando a Linus Torvalds para que pueda dedicarse de manera plena al desarrollo del Kernel. Tras la publicación del fallo de Heartbleed, el proyecto OpenSSL se defendió alegando que con su nivel actual de recursos económicos sólo podían mantener a un programador a tiempo completo. Pocos días después, las donaciones de particulares al proyecto OpenSSL aumentaron. Mentes nuevas o más dinero, ¿cuál será la solución más efectiva? Más opiniones en Reddit.
[+]
BoringSSL: Google crea su propio fork de OpenSSL 23 comentarios
Un pobrecito hablador nos cuenta: «El culebrón de OpenSSL no termina. Tras la hecatombe de
Heartbleed, la inyección de dinero de la Linux Foundation y el fork LibreSSL, Google anuncia (por boca de uno de sus desarrolladores) la creación de su propio fork de OpenSSL, que pasará a denominarse BoringSSL. Google justifica su decisión en que el enorme número de parches (más de 70 en la actualidad) que necesitan para ajustar OpenSSL a sus necesidades en Android y Chrome hace que les resulte más fácil mantener un fork propio (sobre el que prometen que integrarán las mejoras que surjan tanto en OpenSSL como en LibreSSL) que rehacer y aplicar sus parches cada vez que se publica una nueva versión de OpenSSL. BoringSSL se licenciará bajo licencia ISC.»
Heartbleed, la inyección de dinero de la Linux Foundation y el fork LibreSSL, Google anuncia (por boca de uno de sus desarrolladores) la creación de su propio fork de OpenSSL, que pasará a denominarse BoringSSL. Google justifica su decisión en que el enorme número de parches (más de 70 en la actualidad) que necesitan para ajustar OpenSSL a sus necesidades en Android y Chrome hace que les resulte más fácil mantener un fork propio (sobre el que prometen que integrarán las mejoras que surjan tanto en OpenSSL como en LibreSSL) que rehacer y aplicar sus parches cada vez que se publica una nueva versión de OpenSSL. BoringSSL se licenciará bajo licencia ISC.»
[+]
Software Libre: Ya disponible la primera versión portable de LibreSSL 20 comentarios
Un pobrecito hablador nos cuenta: «Se ha anunciado en la lista de correo de LibreSSL la noticia de la primera versión pública, estable y portable de este fork de OpenSSL surgido tras el fallo de seguridad conocido como Heartbleed. De momento ha sido probado en Linux (no especifican distros), Solaris, Mac OSX y FreeBSD, aunque quieren ampliar el soporte de plataformas cuando el tiempo y los recursos lo permitan. Recuerdan que las donaciones a tal efecto siempre son recibidas. Como curiosidad, la web del proyecto sigue usando Comic Sans. Y texto parpadeante.» Actualización (m21): Como bien apunta poblecito hablador es la primera versión portable: fue desarrollado para OpenBSD por sus propios desarrolladores y ahora se presenta la versión que soporta otros sistemas operativos.
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Que no cunda el panico
(Puntos:2, Informativo)No lanzarse a actualizar OpenSSL sin sentido por que si, cuidado con los apt-get upgrade en sistemas antiguos.
El bug afecta a unas versiones muy concretas de OpenSSL
OpenSSL 1.0.1g NO vulnerable
OpenSSL 1.0.1 through 1.0.1f es vulnerable
OpenSSL 1.0.0 branch NO vulnerable
OpenSSL 0.9.8 branch NO vulnerable
En según que sistemas actualizar puede suponer que pasas de ser no vulnerable a ser vulnerable si en los repositorios no han actualizado el paquete de openssl. Ejemplo en ubuntu sin LTS que ya no tengan soporte.
Si eres vulnerable y actualizas al paquete correcto, no se te olvide reiniciar el servicio de Apache.
La noticia en la tele
(Puntos:3, Divertido)( http://127.1/ )
Un error en la tecnología de encriptación web ha puesto en peligro la seguridad de datos confidenciales y sensibles debido al bug Heartbleed, que los expertos han calificado como el mayor fallo de seguridad descubierto en los últimos años.
(...) El bug Heartbleed ha posibilitado a los 'hackers' traspasar la codificación sin dejar huella, y acceder a datos protegidos.
Esto es Barrapunto: vale todo menos quedarse mudo.
Debate en la lista de Tomcat
(Puntos:2)( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )
Dejo algunas cosas que he recopilado, para aprender:
This is OpenSSL 1.0.1--1.0.1f vulnerabilty, so any protocol using OpenSSL implementation of TLS/SSL protocol (if OpenSSL libarary version is in mentioned range) is vulnerable, like: STARTTLS extension for protocols like SMTP, POP, IMAP, XMPP, FTP, LDAP, NNTP, and also other protocols which uss TLS/SSL like SSL VPN, and HTTPS.
SSH protocol does not use TSL/SSL, so it is not vulnerable to Heartbleed bug.
That dependins of the definition of "what OpenSSL touches". OpenSSL consists of two libraries: libcrypto and libtls. OpenSSH implementation depends on OpenSSL package, but only to utilize primitive crypro functions from libcrypto library. Libtls library contains implementation of TLS protocol, including Heartbeat functionality, but OpenSSH does not utilize that library, AFAIK. Therefore, I stand by my earlier position -- no need to rekey SSH keys.
Question:
(Checked http://filippo.io/Heartbleed [filippo.io] before and after) I built APR
and Tomcat Native from source on the server, so I assume it's doing
dynamic library loading.
Is the binary build staticly linked? Otherwise, I'm not sure it's necessary to redo the builds.
The ASF only provides binaries for win32, and yes, they are
statically-linked. Users without the expertise to build their own
tcnative binary will have to wait for the tcnative team to roll a new
release.
Question:
I tested with Tomcat 8.0.5 with tcnative 1.1.29, which includes OpenSSL 1.0.1e, on Windows 7 64-bit, and it confirms the vulnerability.
JSSE Connectors are not vulnerables so, one possible workaround is
to swich to NIO or BIO connector until patched version of tcnative is available.
No. Switching to JSSE only stops the hemorrhaging. You should consider all
your server keys compromised if OpenSSL 1.0.1 was used (prior to "g"
patch level). If you switch to JSSE, your key may already have been
compromised, so the switch does not protect you.
If you were lucky enough to have been ignored by Internet miscreants,
then switching will protect you, but it's a bad bet. The better bet is
to upgrade ASAP to a 1.0.1g version of OpenSSL and then re-key everything.
Then change all your passwords.
"En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
CentOS
(Puntos:2)( http://barrapunto.com/~Grohl/bitacora | Última bitácora: Lunes, 09 Marzo de 2015, 09:07h )
All versions of CentOS 5 and CentOS 6 are not vulnerable to this problem except CentOS 6.5. CentOS 6.5 introduced this problem when openssl was rebased from 1.0.0 to 1.0.1e. Fixed packages containing a backported patch were released overnight 2014/04/08 and should have replicated to all CentOS mirrors by now.
https://www.centos.org/forums/viewtopic.php?f=14&
"En teoría no hay diferencia entre teoría y práctica. En la práctica, sí la hay."
Microsoft parece estar detras.
(Puntos:2)( http://www.apertus.es/ | Última bitácora: Martes, 10 Abril de 2018, 18:44h )
esto pasa por poner...
(Puntos:2)( http://agtejeo.wordpress.com/ | Última bitácora: Jueves, 16 Marzo de 2017, 20:43h )
Saludos.
Mi web personal es un aburrido blog de un sociata desencantado
jejejeje!!!
(Puntos:2)Saludos.
Re:Millones de ojos
(Puntos:2)( http://www.traperware.com/ )
Re:Millones de ojos
(Puntos:1, Inspirado)O sea: sí, la victoria del software libre en el uso de según qué tecnologías es increíblemente aplastante, más que el uso de Windows XP en ordenadores de escrotario. Que tiene bugs, pues vale. Que el código está escrito por frikis, vale también. Que se cuelan fallos que como no pagan a nadie para revisarlos están ahí 10 añazos, pues bueno. La cuestión es que no hay alternativa fiable e igual de económica (o sea: que cueste cero euros) a software como OpenSSL.
Así que cuando quieras te pones a corregir bugs, que es gratis. O igual es que no sabrías ni por dónde empezar a hacerlo, porque seguro que eres uno de esos que quejarse mucho, pero escribir código poco. Y no, no creo que tengas cosas mejores que hacer.
Re:pregunta?
(Puntos:1, Informativo)Re:Dos años...
(Puntos:1)Re:Meigas
(Puntos:1, Inspirado)A ver quien me gana en conspiranoico.