Nueva vulnerabilidad crítica y la lista de afectados es larga. En esta ocasión OpenSSL permite revelar contenidos de memoria de aplicaciones y sistemas que la utilicen como medio de seguridad.
La vulnerabilidad afecta a OpenSSL, versiones 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1.
¿Qué hacer?
Según Inteco, es recomendable aplicar la actualización a versión 1.0.1g proporcionada por OpenSSL, ya que no está afectada.
Alternativamente se puede deshabilitar la funcionalidad HEARTBEAT.
Si se sospecha que existe un compromiso de un servicio, con filtración de credenciales y claves privadas, se recomiendan acciones de revocación de claves y de certificados digitales si los hubiese.
Puede ampliarse información en The Heartbleed Bug.
Se ha reservado el CVE-2014-0160 para la descripción de esta vulnerabilidad.
