El equipo de desarrolladores de OpenSSL anunció esta semana que hoy 9 de julio liberarían una nueva versión de este paquete de herramientas. Como sabéis desde que Heartbleed puso en jaque a prácticamente la mayoría de los servidores del mundo, la comunidad continúa alerta por cualquier agujero de seguridad que pueda contener dicho software.
Se trata de un proyecto de software libre que está compuesto por un paquete de herramientas de administración y bibliotecas relacionadas con el cifrado, que tiene como finalidad la codificación de los datos, por ejemplo cuando se acceder a una web mediante https o para conectarse a un servidor mediante SSH.
La rama de versiones afectadas son la 1.0.1 y 1.0.2, y los parches que están previstos que se liberen tendrán el número de versión 1.0.2d y 1.0.1p. Por el contrario, en el caso de las releases 1.0.0 y 0.98 no contienen dicho defecto.
En el anuncio realizado por parte de dichos desarrolladores, no se ha publicado en qué consiste el agujero de seguridad que van a solventar con la actualización, seguramente para evitar que pueda ser explotada antes de la liberación del correspondiente parche y que los administradores de las maquinas puedan actualizar sus sistemas.
Actualización: Desde arstechnica han publicado en qué consiste la vulnerabilidad. Teóricamente permitiría a un atacante sin certificado válido hacerlo pasar como uno válido en la aplicación que el usuario final utilice. Esto provocaría que dicho atacante tenga la capacidad de monitorizar la conexión entre el usuario final y el servidor de confianza, por lo que podrían interceptar o incluso modificar los datos que pasan entre ellos.
Si tienes un servidor con Ubuntu Server, Debian, CentOS, RedHat u openSuSE, desde la distribución correspondiente pondrán a tu disposición el paquete para que lo actualices utilizando los repositorios oficiales. No obstante, si no quieres esperar (suelen ser muy rápidos para este tipo de problemas) puedes descargar el paquete oficial desde la web del proyecto y realizar la correspondiente instalación.
A continuación encontrarás la orden a utilizar para actualizar la distribución, y que de esa forma , en el momento que esté disponible la última versión en los repositorios, podrás completar dicha actualización.
sudo apt-get update && sudo apt-get upgrade -y
yum update
zypper up
Como veis el mantener al día los paquetes del sistema nos ayuda a proteger nuestras máquinas, reduciendo así los posibles problemas de seguridad que puedan surgir, y por tanto evitando futuros quebraderos de cabeza para el administrador del servidor.