Últimamente hemos notado como varias librerías y certificados de seguridad OpenSource se han visto afectados por fallos de seguridad, haciéndonos la pregunta ¿El SL u OpenSource es seguro?, la respuesta como ya algunos sabrán, es SI, es seguro, dichas fallas de seguridad después de ser descubiertas, son parchadas al poco tiempo, con tan solo realizar una actualización de dichas librerías en la mayoría de casos se solventa el problema.
La ultima vulnerabilidad nos ha llamado mucho la atención, ya que en la mayoría de servidores que se implementan, dicho paquete se instala (OpenSSL) para encriptar las comunicaciones Cliente/Servidor.
Pero que es #TheHeartbleed?, en resumidas palabras, dicha falla permite que un 3ro pueda ver la clave que compartes con el servidor "Seguro" (HTTPS, VPN, Etc) y por ende poder llegar a descifrar la información que se encuentra encriptada o fue consultada en su momento y que aun se encuentre en la RAM del Servidor.
Para mas Información: AQUI y AQUI
Sitios Importantes que se vieron comprometidos (Importante Cambiar la Contraseña y ayudar a tus compañeros a hacerlo): AQUI
Asi que, aca unas respuestas sencillas a las preguntas mas comunes:
¿Soy Vulnerable al #TheHeartbleed?
Si tienes implementados servidores con dicho paquete, recomendamos visitar y realizar el test en: http://filippo.io/Heartbleed/Soy Vulnerable al #TheHeartbleed! Que hago?
Solo con actualizar nuestro sistema o actualizando el paquete al OpenSSL 1.0.1g (En Distros basadas en Debian solo es un "aptitude upgrade" y en CentOS "yum upgrade").
Con lo anterior ya tendríamos nuestro problema resuelto.
NOTA: Como en todo sistema, se recomienda tener TODOS nuestros servidores lo mas actualizados posible, ya no cabe la respuesta "Si funciona, no se toca", ahora es OBLIGACIÓN actualizar y mantener con los paquetes mas recientes nuestros distintos servidores si queremos seguir sin problemas.
NOTA2: Como en la mayoría de sistemas, el eslabón mas débil de la seguridad informática es el usuario final, por ende si vuestro sitio se vio vulnerado, recomienda a tus usuarios a cambiar la clave de acceso para que el certificado se renueve.
No hay comentarios:
Publicar un comentario