Ayer, luego de recibir un aviso de emergencia enviado por la organización del proyecto OpenSSL, toda la comunidad de seguridad IT entro en pánico pues ese aviso de serguridad de emergencia advertía sobre una grave falla de seguridad en la librería criptografica OpenSSL que es utilizada por casi el 60% de los sistemas de Internet.
El fallo de seguridad al que llamaron HeartBleed, fue descubierto por Neel Mehta de la división de Seguridad de Google, quien inmediatamente avisó a la organizacion OpenSSL.
El grave bug permite a cualquier persona burlar los sistemas con versiones de OpenSSL
1.0.1 y 1.0.2-beta, incluidas las versiones 1.0.1f y 1.0.2-beta1. De esa manera pueden leer la memoria de los sistemas protegidos por esas versiones vulnerables. Esto pone en compromiso las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de usuarios, como así también otros datos como números de tarjetas de crédito.
Adam Langley de Chromium y Bodo Moeller de acm.org, escribieron el código necesario para arreglar el fallo de seguridad, el cual está incluido en la nueva versión OpenSSL 1.0.1g que los administradores ya pueden descargar para solucionar el problema en sus servidores.
Enlace | Heartbleed