Tema:
Estimados,
desde ayer tarde se comentó sobre una severa falla de seguridad al openssl que permite que la clave privada sea descubierta, y por tanto cualquier comunicación entre el cliente y el servidor podría verse expuesta.
Lo peor es que el ataque no deja trazas y por tanto no hay forma de saber si la clave privada ha sido o no descubierta, entonces es importante que si utilizas SSL a través de openSSL procedan a regenerar la clave (y por tanto el certificado).
Esta falla afecta a los que usen openssl (que es casi todo el mundo). En caso de que uses hiawatha-webserver, no hay problema pues con hiawatha utilizamos polarSSL.
Aquí el sitio de bug
Aquí el mensaje de Hugo del servidor hiawatha:
Severe bug in OpenSSL discovered
Hi,
I know that this issue has not much to do with Hiawatha (of course not, thanks to PolarSSL). But because it's one of the most critical bugs in a long time, I'm using every means I can to inform as much people. A severe bug has been discovered in OpenSSL which allows an attacker to steal the private key. Yes, you're reading that correctly.
More information about this bug can be found at http://heartbleed.com/
Test if your service is vulnerable via http://filippo.io/Heartbleed/
This requires action now! Also note that patching is not enough. It might be possible that your private key has already be stolen. The most nasty part about this bug is that a successful attack leaves no trace!
Yours sincerely,
Hugo
Comentarios
En esta URL pueden verificar
En esta URL pueden verificar si el ataque afecta al SSL de su sitio:
http://possible.lv/tools/hb/
Por favor actualicen urgente
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Muchas Gracias
Muchas Gracias, epe por mantenernos informado de esta importante falla.