Atención: Heartbleed muestra cómo tus servidores pueden ser vulnerables
Elio Rojano
Todos los sistemas operativos utilizan las librerías SSL (Secure Socket Layer) para cifrar y descifrar contenido, y ha sido en estas librerías donde se ha encontró un bug que permite a cualquiera con acceso a la red robar información protegida en un servidor web. Este bug es conocido con el nombre Heartbleed y no hay que confundirlo con el bug que se encontró en el GNUTLS hace poco que afectó a todas las distribuciones Linux, este es mucho más genérico y afecta a todo tipo de sistemas operativos.
Concretamente lo que puede hacer el bug encontrado es mucho peor de lo que se supuso en un principio y es que permite «inyectar» información directamente a la memoria, lo que puede ser utilizado por exploits para ejecutar comandos como el que hace poco utilizaron para obtener usuarios y contraseñas en los servidores de correo de Yahoo o incluso algo mucho peor.
Las principales distribuciones ya incluyen una actualización que actualiza la versión OpenSSL con el bug arreglado. Yahoo, Google y Microsoft ya han anunciado que han actualizado todos sus servidores para evitar este bug, pero lo que nos preocupa son esos millones de servidores que utilizan HTTPS y que no van a recibir una actualización tan rápidamente como deberían, estoy hablando de servidores Asterisk, Elastix, SwitchVox, Gateways, PBX, Teléfonos y un sin fin de equipos que están a expensas de recibir una actualización para evitar males mayores y que tienen HTTPS como forma de acceso.
La versión con el fallo corregido es OpenSSL 1.0.1g. Las versiones vulnerables van desde la 1.0.1 hasta la 1.0.1f (versiones anteriores no tenían Heartbleed implementado).
Si quieres saber si tu equipo es vulnerable, hay una herramienta para hacerte un autochequeo: http://filippo.io/Heartbleed/