HeartBleed: Bug critico de OpenSSL

[[egostar]]

Cita:

Empezado por Casimiro Notevi

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

Así como tampoco he tenido un Windows que falle para que me haga serle infiel

Es más ni el mismísimo Windows Vista me falló durante todo el tiempo que lo usé.

Saludos

[Casimiro Noteví]

Cita:

Empezado por egostar

...

Por cierto, ¿qué es la imagen de tu avatar? ¿es un perro?

[mamcx]

Parece que la NSA lleva explotando el bug desde hace rato:

http://www.bloomberg.com/news/2014-0...consumers.html

Cita:

The NSA and other elite intelligence agencies devote millions of dollars to hunt for common software flaws that are critical to stealing data from secure computers. Open-source protocols like OpenSSL, where the flaw was found, are primary targets.

The Heartbleed flaw, introduced in early 2012 in a minor adjustment to the OpenSSL protocol, highlights one of the failings of open source software development.

While many Internet companies rely on the free code, its integrity depends on a small number of underfunded researchers who devote their energies to the projects.

Aunque segun este reporte, es probable que su uso en el ambito comercial haya sido minimo:

Cita:

If criminals found the flaw before a fix was published this week, they could have scooped up troves of passwords for bank accounts, e-commerce sites and e-mail accounts worldwide.

Evidence of that is so far lacking, and it’s possible that cybercriminals missed the potential in the same way security professionals did, suggested Tal Klein, vice president of marketing at Adallom, in Menlo Park, California.

La parte mas interesante, segun yo:

Cita:

The SSL protocol has a history of security problems, Lewis said, and is not the primary form of protection governments and others use to transmit highly sensitive information.

Me vengo a enterar de eso...

[Casimiro Noteví]

¿Cómo revisar qué contraseñas cambiar a raíz del bug Heartbleed?

[Casimiro Noteví]

Y ya puestos, ¡¡¡ daros de baja de dropbox !!!

El fichaje de Condoleezza Rice pone a Dropbox en la picota

[[nlsgarcia]]

Club Delphi,

Cita:

Empezado por openssl.org

OpenSSL Security Advisory [07 Apr 2014]
==========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <[email protected]> and Bodo Moeller <[email protected]> for preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Tomado de: https://www.openssl.org/news/secadv_20140407.txt

Cita:

Empezado por elnuevoherald

Washington -- Reparar la falla “Heartbleed”, descubierta la semana pasada, podrá perturbar y enlentecer el funcionamiento de Internet, informaron este martes expertos estadounidenses en seguridad informática.

Ver la noticia completa en : Reparar falla ‘Heartbleed’ enlentecerá Internet, según expertos

En mi opinión personal, la falla de seguridad ocasionada por el The Heartbleed Bug es ciertamente grave, pero esto no desmerita el trabajo hecho durante tantos años por el equipo de desarrollo de OpenSSL Cyptographic Software Library, ni mucho menos del software libre en general

Nelson.

[Casimiro Noteví]

Cita:

@LINOX:~$ aptitude versions openssl | grep ubuntu
1.0.1-4 ubuntu precise-security

Esta mañana se me actualizó