"Este servidor es vulnerable a Heartbleed. Actualizar a la última versión de OpenSSL, reemplazar el certificado en su servidor o aplicación web y restablecer las contraseñas del usuario final que pueden haber sido visibles en una memoria de servidor vulnerada."
El error Heartbleed está en la extensión de latido de la biblioteca criptográfica de OpenSSL. Las bibliotecas criptográficas de versiones de OpenSSL 1.0.1 hasta 1.0.1f y 1.0.2-beta1 son vulnerables a los ataques del error Heartbleed. La vulnerabilidad del error Heartbleed es una debilidad en la biblioteca criptográfica de OpenSSL que le permite a un atacante acceder a información confidencial que normalmente está protegida por los protocolos SSL y TLS.
OpenSSL es un kit de herramientas de código abierto que implementa los protocolos Capa de sockets seguros (SSL) y Seguridad de la capa de transporte (TLS), incluida una biblioteca criptográfica que utiliza funciones criptográficas y proporciona diferentes funciones de utilidad. Esta biblioteca criptográfica es comúnmente implementada por los servidores en Internet para proteger gran parte del tráfico de Internet.
Un atacante puede usar el ataque de error Heartbleed para acceder a lo siguiente:
Al asegurar su entorno contra el error Hearbleed, deberá revisar OpenSSL en los servidores que están ejecutando versiones vulnerables de OpenSSL y el software que está usando versiones afectadas de la biblioteca de OpenSSL.
Actualizar a la última versión de OpenSSL (versión 1.0.1g o posterior).
Es posible que necesite reiniciar el software después de instalar la revisión para asegurarse de que se restablezca la biblioteca de OpenSSL y que se elimine el error Heartbleed de la memoria caché.
Si no puede actualizar a la última versión de OpenSSL:
Use Discovery de DigiCert para volver a examinar su entorno a fin de asegurarse de que ya no es vulnerable al ataque del erro Heartbleed.
Después de instalar los certificados reemitidos, debe revocar los certificados que se reemplazaron. Para revocar sus certificados, póngase en contacto con su Autoridad de certificados.
Para los clientes de DigiCert, envíe un correo electrónico al servicio de asistencia a support@digicert.com. Asegúrese de incluir el número de pedido de su certificado y una breve descripción de lo que desea revocar.
Si sus servidores aceptan contraseñas, también debería hacer que sus clientes restablezcan sus contraseñas, pero solo después de haber corregido los servidores y el software, y de generar claves, reemitir, instalar y revocar los certificados.
Si los clientes restablecen sus contraseñas antes de que se corrijan los servidores o el software y de generar clave, reemitir, instalar y revocar los certificados, sus contraseñas seguirán estando expuestas y tendrán que volver a restablecer sus contraseñas.