Una vulnerabilidad en OpenSSL podr�a permitir la exposici�n de datos sensibles, incluyendo credenciales de usuario y llaves privadas, debido a un manejo inadecuado de memoria en la extensi�n heartbeat de TLS.
OpenSSL | >= | 1.0.1 |
OpenSSL | <= | 1.0.1f |
OpenSSL | == | 1.0.2-beta |
Las versiones 1.0.1 a 1.0.1f de OpenSSL tienen una falla en su implementaci�n de la funcionalidad heartbeat de TLS/DTLS, la cual permite a un atacante tener acceso a la memoria privada de alguna aplicaci�n que utilice la biblioteca vulnerable de OpenSSL tomando bloques de 64k. El atacante podr�a utilizar la vulnerabilidad tantas veces como fuera necesario para obtener informaci�n sensible, entre la que podr�a incluirse:
Es importante tener en cuenta que OpenSSL se utiliza en diversos servicios como mecanismo para cifrar el medio de comunicaci�n, por ejemplo:
Este fallo afecta a cualquier software que haga uso de una biblioteca vulnerable de OpenSSL y no deja rastro en las bit�coras de las aplicaciones afectadas debido a que el ataque se establece inmediatamente despu�s de inicializar la transmisi�n con TLS.
Existen exploits y pruebas de concepto disponibles en Internet que verifican si el servicio es vulnerable y realizan el volcado de la informaci�n obtenida.
Esta falla permite a un atacante acceder desde un sitio remoto a memoria privada de una aplicaci�n que utiliza la biblioteca OpenSSL vulnerable en bloques de 64k.
La Coordinaci�n de Seguridad de la Informaci�n/UNAM-CERT agradece el apoyo en la elaboraci�n � traducci�n y revisi�n de �ste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Informaci�n
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Cr�ditos |
Staff |
Administraci�n
Copyright © Todos los derechos reservados
UNAM - CERT