Mig milió de servidors web podrien haver estat exposats durant dos anys

Compartir

Un bug detectat a l’OpenSSL pot haver deixat al descobert fins a mig milió de servidors suposadament segurs durant els darrers dos anys.

OpenSSL és un programari lliure que consisteix -explicat de manera simplificada- en una eina de criptografia la qual permet, entre d’altres funcionalitats, crear certificats digitals amb els quals identificar-se en comunicacions client-servidor, per exemple.

El passat dia 7, Neel Mehta, de Google Security, va descobrir un bug en la versió 1.0.1 d’OpenSSL que també afecta a la beta 1 de la 1.0.2, i que permet llegir la memòria del servidor.

Això obre la possibilitat que un atacant pugui llegir informació sensible sobre les claus criptogràfiques, atorgant amb això la capacitat de desencriptar-les, a més de poder accedir a dades sensibles dels usuaris, podent arribar a suplantar-ne la identitat digital mitjançant la informació obtinguda.

L’errada afecta a totes les versions de la sèrie 1.0.1 tret de la 1.0.1g, i es troba en l’extensió Heartbeat del protocol TLS, ja que pel que sembla, OpenSSL no comprova correctament la validesa de les peticions que es realitzen a aquesta extensió.

La vulnerabilitat ha estat aquí des del març del 2012, dos llargs anys en els quals milers de servidors han estat exposats. Les xifres de servidors que podrien haver estat al descobert durant tot aquest temps varia segons les fonts, però es mouen sobre el mig milió de màquines, una xifra que, per exemple, cita Netcraft.

Es desconeix si aquesta vulnerabilitat ha estat objecte de comerç en forma de zero day exploit, en la qual es ven informació sobre forats de seguretat que encara no han estat descoberts i, per tant, apedaçats.

També els governs de tot el món poden haver aprofitat el bug per a les seves tasques d’espionatge. Amb el “cas Snowden” encara a les portades, entitats com la NSA nord-americana o els serveis secrets xinesos poden haver aprofitat l’avinentesa per espiar dissidents o organitzacions internacionals.

Què fer per solucionar la fallada?

Tot i que a hores d’ara, tots els administradors de sistemes ja haurien d’haver apedaçat la vulnerabilitat, per a aquells que encara no sabien res del tema, se’ls recomana actualitzar a la versió 1.0.1g d’aquest programa.

El bug serà solucionat en la beta 2 de la versió 1.0.2 per a què ja quedi tapat definitivament.

Per comprovar quina versió d’aquest programari està sent emprada, n’hi haurà prou amb obrir una línia de comandes i teclejar openssl version. A partir d’aquí, actualitzar o sol·licitar l’actualització a l’administrador del sistema.

 

Copyleft 2014 El Mur Tecnològic
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà El Mur Tecnològic

Guillem Alsina
Etiquetes: