1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Informaci�n - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2014-004 Vulnerabilidad Heartbleed en OpenSSL

Una vulnerabilidad en OpenSSL podr�a permitir la exposici�n de datos sensibles, incluyendo credenciales de usuario y llaves privadas, debido a un manejo inadecuado de memoria en la extensi�n heartbeat de TLS.

  • Fecha de Liberación: 8-Abr-2014
  • Ultima Revisión: 25-Abr-2014
  • Fuente: OpenSSL.org
  • CVE ID: CVE-2014-0160
  • Riesgo Cr�tico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Divulgaci�n de informaci�n

Sistemas Afectados

OpenSSL >= 1.0.1
OpenSSL <= 1.0.1f
OpenSSL == 1.0.2-beta

  1. Descripci�n

    Las versiones 1.0.1 a 1.0.1f de OpenSSL tienen una falla en su implementaci�n de la funcionalidad heartbeat de TLS/DTLS, la cual permite a un atacante tener acceso a la memoria privada de alguna aplicaci�n que utilice la biblioteca vulnerable de OpenSSL tomando bloques de 64k. El atacante podr�a utilizar la vulnerabilidad tantas veces como fuera necesario para obtener informaci�n sensible, entre la que podr�a incluirse:

    • Llaves privadas
    • Nombres de usuario y contrase�as
    • Otros datos sensibles utilizados en los servicios que utilicen la biblioteca vulnerable de OpenSSL

    Es importante tener en cuenta que OpenSSL se utiliza en diversos servicios como mecanismo para cifrar el medio de comunicaci�n, por ejemplo:

    • Web (https)
    • Correo electr�nico (imaps, pops, smtps)
    • Servicios de directorio (ldaps)
    • Redes Privadas Virtuales (VPN)

    Este fallo afecta a cualquier software que haga uso de una biblioteca vulnerable de OpenSSL y no deja rastro en las bit�coras de las aplicaciones afectadas debido a que el ataque se establece inmediatamente despu�s de inicializar la transmisi�n con TLS.

    Existen exploits y pruebas de concepto disponibles en Internet que verifican si el servicio es vulnerable y realizan el volcado de la informaci�n obtenida.


  2. Impacto

    Esta falla permite a un atacante acceder desde un sitio remoto a memoria privada de una aplicaci�n que utiliza la biblioteca OpenSSL vulnerable en bloques de 64k.


  3. Soluci�n

    • Actualizar a la versi�n OpenSSL 1.0.1g que corrige este vulnerabilidad. Todas las llaves generadas con una versi�n vulnerable de OpenSSL deber�an considerarse comprometidas, por lo que deber�an ser generadas e instaladas nuevamente, una vez que el parche haya sido aplicado.
    • Verificar con el fabricante del sistema operativo para revisar si existe un paquete que contenga la versi�n actualizada.
    • Recompilar los binarios y bibliotecas de OpenSSL con la opci�n -DOPENSSL_NO_HEARTBEATS para no incluir la funcionalidad afectada.
    • Se recomienda considerar la implementaci�n de Perfect Forward Secrecy para mitigar el da�o que podr�a provocar la revelaci�n de llaves privadas.

  4. Verificaci�n


    Herramientas de verificaci�n via web


    Herramientas de verificaci�n por l�nea de comandos


    Reglas de SNORT para detectar el ataque (SIDs 30510 - 30517)


  5. Referencias


La Coordinaci�n de Seguridad de la Informaci�n/UNAM-CERT agradece el apoyo en la elaboraci�n � traducci�n y revisi�n de �ste Documento a:

  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • Andr�s Leonardo Hern�ndez Berm�dez (ahernandez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Informaci�n

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de M�xico Aviso legal |  Cr�ditos |  Staff |  Administraci�n
Copyright © Todos los derechos reservados
UNAM - CERT

"));