inicio

Jul 9, 2015
|

Detectada vulnerabilidad crítica en OpenSSL

El equipo de desarrolladores de OpenSSL anunció esta semana que hoy 9 de julio liberarían una nueva versión de este paquete de herramientas. Como sabéis desde que Heartbleed puso en jaque a prácticamente la mayoría de los servidores del mundo, la comunidad continúa alerta por cualquier agujero de seguridad que pueda contener dicho software.

vulnerabilidad crítica en openssl

¿Qué es OpenSSL?

Se trata de un proyecto de software libre que está compuesto por un paquete de herramientas de administración y bibliotecas relacionadas con el cifrado, que tiene como finalidad la codificación de los datos, por ejemplo cuando se acceder a una web mediante https o para conectarse a un servidor mediante SSH.

 

¿A qué versiones afecta la vulnerabilidad?

La rama de versiones afectadas son la 1.0.1 y 1.0.2, y los parches que están previstos que se liberen tendrán el número de versión 1.0.2d y 1.0.1p. Por el contrario, en el caso de las releases 1.0.0 y 0.98 no contienen dicho defecto.

En el anuncio realizado por parte de dichos desarrolladores,  no se ha publicado en qué consiste el agujero de seguridad que van a solventar con la actualización, seguramente para evitar que pueda ser explotada antes de la liberación del correspondiente parche y que los administradores de las maquinas puedan actualizar sus sistemas.

 Actualización: Desde arstechnica han publicado en qué consiste la vulnerabilidad. Teóricamente permitiría a un atacante sin certificado válido hacerlo pasar como uno válido en la aplicación que el usuario final utilice. Esto provocaría que dicho atacante tenga la capacidad de monitorizar la conexión entre el usuario final y el servidor de confianza, por lo que podrían interceptar o incluso modificar los datos que pasan entre ellos.

 

 

¿Cómo puedo actualizar mi servidor/equipo?

Si tienes un servidor con Ubuntu Server, Debian, CentOS, RedHat u openSuSE, desde la distribución correspondiente pondrán a tu disposición el paquete para que lo actualices utilizando los repositorios oficiales. No obstante, si no quieres esperar (suelen ser muy rápidos para este tipo de problemas) puedes descargar el paquete oficial desde la web del proyecto y realizar la correspondiente instalación.

A continuación encontrarás la orden a utilizar para actualizar la distribución, y que de esa forma , en el momento que esté disponible la última versión en los repositorios, podrás completar dicha actualización.

Ubuntu Server y Debian

 

sudo apt-get update && sudo apt-get upgrade -y

 

CentOS y RedHat

 

yum update

 

openSUSE

 

zypper up

 

Como veis el mantener al día los paquetes del sistema nos ayuda a proteger nuestras máquinas, reduciendo así los posibles problemas de seguridad que puedan surgir, y por tanto evitando futuros quebraderos de cabeza para el administrador del servidor.

The following two tabs change content below.
Fundador y administrador del blog. Gran fan de todo lo relacionado con la tecnología y de GNU/Linux en particular.
Tags: ,
  • sacapuntas

    Uhn… deberian informar sobre el agujero, en que consiste

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR