Error Heartbleed
Error relacionado
"Este servidor es vulnerable a Heartbleed. Actualizar a la última versión de OpenSSL, reemplazar el certificado en su servidor o aplicación web y restablecer las contraseñas del usuario final que pueden haber sido visibles en una memoria de servidor vulnerada".
Problema
El error Heartbleed está en la extensión de latido de la biblioteca criptográfica de OpenSSL. Las bibliotecas criptográficas de versiones de OpenSSL 1.0.1 hasta 1.0.1f y 1.0.2-beta1 son vulnerables a este ataque. La vulnerabilidad del error Heartbleed es una debilidad en la biblioteca criptográfica de OpenSSL que le permite a un atacante acceder a información confidencial que normalmente está protegida por los protocolos SSL y TLS.
Aviso
OpenSSL es un conjunto de herramientas de código abierto que implementa los protocolos Capa de sockets seguros (SSL) y Seguridad de la capa de transporte (TLS). Incluye una biblioteca criptográfica que emplea funciones criptográficas y proporciona diferentes funciones de utilidad. Esta biblioteca criptográfica es comúnmente implementada por los servidores en Internet para proteger gran parte del tráfico de Internet.
Un atacante puede usar el ataque de error Heartbleed para acceder a lo siguiente:
Claves de cifrado
El atacante puede utilizar estas claves para descifrar las comunicaciones seguras pasadas y futuras a su sitio web y suplantar su sitio web en cualquier momento.
Credenciales de usuario
El atacante puede utilizar los nombres de usuario y las contraseñas de sus clientes para acceder a la información protegida por su sitio web.
Contenido protegido
El atacante puede acceder a detalles personales o financieros, comunicaciones privadas (correo electrónico o mensajes instantáneos) y documentos.
Colaterales
El atacante puede acceder al contenido de la memoria filtrada, como la dirección de la memoria y las medidas de seguridad.
Solución
Revisar el software
A la hora de proteger su entorno contra el fallo Heartbleed, es necesario revisar OpenSSL en los servidores que ejecutan versiones vulnerables de OpenSSL y el software que utiliza las versiones afectadas de la biblioteca OpenSSL.
Actualizar a la última versión de OpenSSL (versión 1.0.1g o posterior).
Servidores
Verifique su administrador de paquetes para conseguir un paquete actualizado de OpenSSL e instálelo. Si no tiene un paquete actualizado de OpenSSL, obtenga la última versión de OpenSSL de su proveedor de servicios.
Software
Compruebe la existencia de revisiones de software lanzadas para corregir la vulnerabilidad del error Heartbleed e instálelas. Si no tiene revisiones de software, póngase en contacto con su proveedor de software para adquirir la última revisión e instalarla.
Nota
Es posible que tenga que reiniciar su software después de que se haya revisado para asegurarse de que la biblioteca OpenSSL se reinicie y que el error Heartbleed se elimine de la memoria caché.
Si no puede actualizar a la última versión de OpenSSL:
Revierta a la versión 1.0.0 o anterior de OpenSSL.
Vuelva a compilar OpenSSL con la marca OPENSSL_NO_HEARTBEATS.
Verifique que las vulnerabilidades estén revisadas
Use Discovery de DigiCert para volver a examinar su entorno a fin de asegurarse de que ya no es vulnerable al ataque del erro Heartbleed.
Regenerar claves, volver a emitir e instalar certificados
Regenere claves y vuelva a emitir todos los certificados de sus servidores afectados. Al volver a emitir los certificados, asegúrese de generar nuevas solicitudes de firma de certificados (CSR). Vea Crear una CSR.
Después de que los servidores y el software se hayan revisado (y solo después de que se hayan revisado), instale sus certificados reemitidos.
Revocar certificados reemplazados
Después de instalar los certificados reemitidos, debe revocar los certificados que se reemplazaron. Para revocar sus certificados, póngase en contacto con su Autoridad de certificados.
Para los clientes de DigiCert, envíe un correo electrónico a soporte técnico. Asegúrese de incluir el número de pedido de su certificado y una breve descripción de lo que desea revocar.
Restablecer las contraseñas
Si sus servidores aceptan contraseñas, también debe hacer que sus clientes restablezcan sus contraseñas, pero solo después de que los servidores y el software se hayan revisado y los certificados se hayan reescrito, reemitido, instalado y revocado.
Aviso
Si los clientes restablecen sus contraseñas antes de que los servidores o el software se revisen y los certificados se vuelvan a escribir, se vuelvan a emitir, se instalen y se revoquen, sus contraseñas seguirán estando expuestas. Deben volver a restablecer sus contraseñas.