Error de Seguridad en OpenSSL (Bug Heartbleed)

El Bug Heartbleed es una grave vulnerabilidad en la biblioteca de OpenSSL. Esta debilidad permite robar la información protegida, bajo condiciones normales, por el cifrado SSL / TLS utilizado para asegurar Internet.

SSL / TLS proporciona seguridad y privacidad en las comunicaciones a través de Internet para aplicaciones web;  como el correo electrónico, la mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).

El error Heartbleed permite a cualquier persona en Internet leer la memoria de los sistemas "protegidos" por las versiones vulnerables del software OpenSSL. Comprometiendo las claves secretas usadas para identificar a los proveedores de servicios y para cifrar el tráfico; los nombres y contraseñas de los usuarios y el contenido actual de la sesión.

Esto permite a los atacantes espiar las comunicaciones, y robar los datos directamente de los servicios y de los usuarios, para después, suplantar a estos servicios y usuarios.

Algunos sistemas operativos con versión de OpenSSL vulnerables:

• Debian Wheezy (stable), (OpenSSL 1.0.1e-2+deb7u4)
• Ubuntu 12.04.4 LTS, (OpenSSL 1.0.1-4ubuntu5.11)
• CentOS 6.5, (OpenSSL 1.0.1e-15)
• Fedora 18, (OpenSSL 1.0.1e-4)
• OpenBSD 5.3 & 5.4 (OpenSSL 1.0.1c)
• FreeBSD 10.0 - (OpenSSL 1.0.1e)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Desde aquí recomendamos actualizar vuestro sistema para disfrutar de la versión 1.0.1g de OpenSSL ya reparada. Gracias a Neel Metha que descubrió el bug y a Adam Langley y Bodo Moeller que encontraron la solución para arreglarlo.

Fuente y más información en la página dedicada al bug: heartbleed.com