Heartbleed ya es “considerado como una de las mayores amenazas vistas en la Web desde su nacimiento”, según afirmamos en este repaso que dio cuenta del hallazgo de este bug detectado por Google y la firma Codenomicon en OpenSSL, protocolo que es utilizado en dos tercios de los servidores de Internet. Esta falla, la cual ha sido emparchada por los desarrolladores de Open SSL, no fue insertada en forma intencional sino que se trató de un descuido, según dijo el desarrollador alemán Robin Seggelman, quien trabajó en el proyecto.
Ahora, Cisco Systems y Juniper Networks indican que Heartbleed también afecta a routers que están a la venta actualmente. Estas compañías publican un listado de dispositivos afectados (los cuales utilizan una versión antigua del protocolo), indicando que trabajan en parches para los hardwares involucrados. Cisco menciona 65 productos afectados, mientras Juniper identifica 8. Las listas pueden ser consultadas en los siguientes enlaces:
Según indica The Wall Street Journal, a diferencia de la rápida acción de emparchado emprendida por firmas como Yahoo, Netflix y Amazon, en el caso de los dispositivos físicos la solución reviste mayores dificultades. “El proceso implica más pasos y las empresas son menos propensas a comprobar el estado de los equipos de red”, anota.
Operando hace al menos dos años, según explicó el especialista en seguridad informática Federico Pacheco en esta nota de RedUSERS, “el bug posibilita la lectura de ciertos fragmentos de la memoria del propio proceso (hasta 64k por vez) tanto del lado del cliente como del lado del servidor, con lo que un potencial atacante podría entonces vulnerar a cualquiera de las partes”. El especialista añade que “sería posible obtener los datos correspondientes a la clave privada del servidor (o del cliente) y otros datos sensibles” y que “estamos antes un escenario de un nivel de riesgo dantesco que no se repetirá por mucho tiempo”.
Imagen: Mashable
Pablo marmol te vi el otro dia en el paro, me di cuenta que eras vos porque eras el unico piquetero revelde, no quemabas la goma, la tirabas!!!
Vos anda a la esquina, tomate el 5 y andate a la concha de tu madre
Como carajo es que una vulnerabilidad sale con LOGO (!!) y todo? Porque el logo???
tomate un reliveran y tomatelas.
Lo mismo que me pasa con tus comentarios Náusea, digo… Sausea.
Perfectamente explicado Seba. Se ve que Pablito es otro b*ludit* que no sabe nada y cree que su SO es robusto… Pobrecito.
Es que tecnicamente no es Linux el vulnerable sino un protocolo de internet que se implementa en el. Y si bien no tengo claro como es la cosa, tampoco seria en el protocolo en si, sino en la implementacion de el.
Sea como sea, es sabido que linux es vulnerable -como cualquier otro sistema, no existe la perfeccion total- pero comparandolo con otros sistemas es mucho mas seguro… a nadie medianamente serio se le ocurriria comparar windows con linux.
LINUX vulnerable.??? imposible..!! ja…..!!!!!
How about operating systems?
Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Operating system distribution with versions that are not vulnerable:
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
como se nota q no tenes ni un dedo de frente para darte cuenta de la magnitud del problema
Me chup-a 25 huevos este Heartbleed, puro humo.