Error Heartbleed

Error relacionado

"Este servidor es vulnerable a Heartbleed. Actualizar a la última versión de OpenSSL, reemplazar el certificado en su servidor o aplicación web y restablecer las contraseñas del usuario final que pueden haber sido visibles en una memoria de servidor vulnerada."

Problema

El error Heartbleed está en la extensión de latido de la biblioteca criptográfica de OpenSSL. Las bibliotecas criptográficas de versiones de OpenSSL 1.0.1 hasta 1.0.1f y 1.0.2-beta1 son vulnerables a los ataques del error Heartbleed. La vulnerabilidad del error Heartbleed es una debilidad en la biblioteca criptográfica de OpenSSL que le permite a un atacante acceder a información confidencial que normalmente está protegida por los protocolos SSL y TLS.

OpenSSL es un kit de herramientas de código abierto que implementa los protocolos Capa de sockets seguros (SSL) y Seguridad de la capa de transporte (TLS), incluida una biblioteca criptográfica que utiliza funciones criptográficas y proporciona diferentes funciones de utilidad. Esta biblioteca criptográfica es comúnmente implementada por los servidores en Internet para proteger gran parte del tráfico de Internet.

Un atacante puede usar el ataque de error Heartbleed para acceder a lo siguiente:

  • Claves de cifrado
    El atacante puede usar estas claves para descifrar comunicaciones seguras pasadas y futuras con su sitio web y para suplantar su sitio web en cualquier momento.
  • Credenciales de usuario
    El atacante puede usar los nombres de usuario y las contraseñas de sus clientes para acceder a la información protegida por su sitio web.
  • Contenido protegido
    El atacante puede acceder a datos personales o financieros, comunicaciones privadas (correos electrónicos o mensajes instantáneos) y documentos.
  • Colateral
    El atacante puede acceder al contenido de la memoria filtrada, como la dirección de la memoria y las medidas de seguridad.

Solución

Revisar el software

Al asegurar su entorno contra el error Hearbleed, deberá revisar OpenSSL en los servidores que están ejecutando versiones vulnerables de OpenSSL y el software que está usando versiones afectadas de la biblioteca de OpenSSL.

Actualizar a la última versión de OpenSSL (versión 1.0.1g o posterior).

  • Servidores
    Verifique su administrador de paquetes para conseguir un paquete actualizado de OpenSSL e instálelo. Si no tiene un paquete actualizado de OpenSSL, obtenga la última versión de OpenSSL de su proveedor de servicios.
  • Software
    Compruebe la existencia de revisiones de software lanzadas para corregir la vulnerabilidad del error Heartbleed e instálelas. Si no tiene revisiones de software, póngase en contacto con su proveedor de software para adquirir la última revisión e instalarla.
    Nota: Es posible que necesite reiniciar el software después de instalar la revisión para asegurarse de que se restablezca la biblioteca de OpenSSL y que se elimine el error Heartbleed de la memoria caché.

Es posible que necesite reiniciar el software después de instalar la revisión para asegurarse de que se restablezca la biblioteca de OpenSSL y que se elimine el error Heartbleed de la memoria caché.

Si no puede actualizar a la última versión de OpenSSL:

  • Revierta ala versión 1.0.0 o anterior de OpenSSL.
  • Vuelva a compilar OpenSSL con la marca OPENSSL_NO_HEARTBEATS.

Verificar que las vulnerabilidades del error Heartbleed estén corregidas

Use Discovery de DigiCert para volver a examinar su entorno a fin de asegurarse de que ya no es vulnerable al ataque del erro Heartbleed.

Regenerar claves, volver a emitir e instalar certificados

  • Regenere claves y vuelva a emitir todos los certificados de sus servidores afectados.
    Al volver a emitir los certificados, asegúrese de generar nuevas solicitudes de firma de certificados (CSR). Vea Crear una CSR.
  • Después de corregir los servidores y el software, y solo después de que estén corregidos, instale sus certificados reemitidos.

Revocar certificados reemplazados

Después de instalar los certificados reemitidos, debe revocar los certificados que se reemplazaron. Para revocar sus certificados, póngase en contacto con su Autoridad de certificados.

Para los clientes de DigiCert, envíe un correo electrónico al servicio de asistencia a support@digicert.com. Asegúrese de incluir el número de pedido de su certificado y una breve descripción de lo que desea revocar.

Restablecer las contraseñas

Si sus servidores aceptan contraseñas, también debería hacer que sus clientes restablezcan sus contraseñas, pero solo después de haber corregido los servidores y el software, y de generar claves, reemitir, instalar y revocar los certificados.

Si los clientes restablecen sus contraseñas antes de que se corrijan los servidores o el software y de generar clave, reemitir, instalar y revocar los certificados, sus contraseñas seguirán estando expuestas y tendrán que volver a restablecer sus contraseñas.