Más peligros de Heartbleed, y éstos pueden afectarte

heartbleed open ssl

Desde que se descubrió el Heartbleed, se han encontrado sistemáticamente bugs que han permitido a los hackers generar agujeros en la seguridad de cientos de procesos. Ha pasado casi un año, y siguen apareciendo más y más problemas. Los últimos agujeros en la programación que se han descubierto han recibido la categoría de "alto riesgo".

La advertencia decía que podía haber dos fallos. El primero tiene lugar si un cliente se conctaba a un servidor OpenSSL 1.0.2 y regenociaba con una firma inválida. Si esto ocurriese (o mejor dicho, cuando esto ocurra), tendrá lugar un "NULL Pointer dereference", que podría ser usado en un ataque de denegación de servicio contra ese mismo servidor. 

Aquí tenéis toda la información de Heartbleed desde el día en que se descubrió

En cuanto al segundo fallo, merece la pena mencionar que en primer lugar fue considerado de riesgo bajo, y que sólo después de un tiempo se le cambió la categoría. Afecta a tres versiones de OpenSSL: 1.0.1, 1.0.0 y 0.9.8. Según decía la advertencia original: Los clientes sólo son vulnerables a un ataque "man in the middle" contra un servidor con exportación ciphersuite RSA. 

Trey Ford, estratega de seguridad global en Rapid 7, declaró que el principal problema de seguridad (una caída a través del NULL pointer Derefence) sólo afectaba a las versiones 1.0.2, aunque muchos usuarios utilizan las versiones 0.9.8 y 1.0.1. 

Andy Manoske, Product Manager en AlienVault declaró "Aprovechar las vulnerabilidades de Hartbleed da acceso a unformación criptrográfica extremadamente sensible, pero utilizar esa información para atacar un objetivo y reobar información requiere al menos cierto conocimiento de criptografía y programación".

"Sin embargo, con estos fallos podría generarse una herramienta para realizar ataques de denegación de servicio de forma rápida y sin necesidad de tener muchos conocimientos".