Aparece una vulnerabilidad muy grave en OpenSSL que amenaza la seguridad de la mayoría de las conexiones de internet y permite acceder al tráfico cifrado. Un ejemplo de la envergadura del error es que el servidor Apache es utilizado por casi la mitad de las páginas web y usa OpenSSL,lo que puede provocar que todo ese tráfico generado por Apache sea vulnerable a ataques. Original en inglés: The Heartbleed Bug [ENG]
#18:
#4 Apache y OpenSSl se pueden instalar en windows y seguramente en OSX. Es una vulnerabilidad de aplicación no de sistema operativo.
#5:
#4 Tu no sabes lo que es la informática. Decir que Linux es invulnerable es como decir que el error humano no existe. Pero bueno, todo sea por la causa .... de Microsoft, Apple ...
En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan. No dependemos de intereses comerciales de empresas que quizás (solo quizás!) prioricen sus oportunidades de negocio por delante del interés de sus clientes.
#16:
#12 Ja, el problema es que el bug, aunque lo hayan parcheado hoy, ha permitido que durante unas horas, días, o lo que sea (algunos no han parcheado sus sistemas ni lo harán en meses) se haya podido leer la memoria del servidor.
Cosas que están en la memoria del servidor:
- Tickets de autenticación
- Las claves privadas de SSL
- Cookies, ususarios, etc
Así que aunque, por ejemplo, tu server con debian lo hayan parcheado hoy a las 15:00, si yo te saqué la info a las 14:55, si no has revocado/renovado tu certificado, y los usuarios cambiados sus claves etc pues no vale de nada. Por no mencionar que si yo tengo tráfico SSL que capturé y lo conservo guardado anterior al cambio, con las claves puedo descifrarlo, parchees o no parchees, renueves el cert o no.
Es decir, las consecuencias de este fallo las veremos poco a poco, pero es de lo más grave que se ha visto en años, de antigua, irrelevante, etc nada de nada, más bien yo diría que se está infravalorando mucho el problema.
PD: Esto no son suposiciones, lo he probado en mis servers por la mañana, y alguno más de conocidos etc, igual que lo he hecho yo, habrá cientos o miles de personas que lo han hecho/están haciendo, aún a esta hora hay servicios online que siguen teniendo el bug.
#15:
#5#6#8 No tengo ni puta idea de Linux lo confieso. Disculpad mi ignorancia
#8:
#4 ¿Qué cojones tiene que ver OpenSSL con el Kernel de GNU?
#28:
#13 OpenSSL es una librería, la mas usada para SSL, como zlib lo es para el formato Zip. Lo que significa que esto afecta a miles de programas de Linux, pero también de Windows, de Mac OS, de iOS y de Android. Y de OS/2, y de BeOS y Haiku, y ... podria seguir horas. OpenSSL lo usa todo cristo. Por no hablar de casi todos los servidores, tanto web, como de correo, muchos servers de juegos (suelen usar ssl para el login al menos). Creo que gmail y otros servidores de correo se libran por usar TLS.
Claro, tú aún estabas en primaria y no sabes cómo fue aquello. Cuando había "un" ordenador por casa conectado a un módem ADSL con IP estática. La de risas que me cogía yo gracias al blaster y al puerto 4444.
PD: ¿La IP pública de tu router que hace NAT?
#25:
Es un bug gravísimo que lleva desde 2012 y que se ha descubierto esta semana.
Las versiones afectadas de OpenSSL (usado por el 70% de los servidores en Internet) van desde la 1.0.1 hasta la 1.0.1f. La versión 1.0.1g ha sido publicada ayer y puede ser instalada a través de estos PPA si usas ubuntu: https://launchpad.net/~george-edison55/+archive/openssl-heartbleed-fix
Las recomendaciones genéricas son APAGA TU SERVIDOR, ACTUALIZA, REGENERA LOS CERTIFICADOS SSL Y ENCIENDE.
Esto es un puto coñazo (regenerar los certificados de todos los servidores), pero como mínimo sí se debe actualizar cuanto antes a OpenSSL 1.0.1g y reiniciar todos los servicios asociados a SSL o simplemente reiniciar el servidor.
Que quiere decir que el bug exista desde 2012? Pués que todos los usuarios, contraseñas e información sensible que has usado desde esa fecha estuvieron expuestos a quién conocía el bug y ninguno de esos datos podrían ya ser seguros.
Creo que es el bug más crítico asociado a servidores y seguridad de las comunicaciones desde hace muuuuucho tiempo.
#21:
#13 Ahora es cuando sales de Fantasía y te enteras que OpenSSL también lo hay y se usa en Windows. No en vano lo bueno que tiene el software libre es que cualquiera, con conocimientos, puede parchear una aplicación que haya creado otro y con el software privativo necesitas esperar a que la empresa de turno, o persona que haya desarrollado la susodicha, lo haga.
Por cierto en Ubuntu/Kubuntu ya está parcheado. Kubuntu desde ayer.
Salu2
#44:
#37 Ya me he disculpado en #15. Tampoco hay que ensañarse
#17:
#8 No lo sé, pero yo diría que el Kernel de Linux es precisamente la parte de GNU/Linux que no es GNU
#47:
#39 vale, no estabas de coña. Que mas da lo que tu ejecutes o dejes de ejecutar? Te has leido en que consiste el 0day?
Para ponerte un ejemplo:
Te logueas en brazzers con tu user y tu pass, el servidor almacena tu cookie y/o tu peticion de login (desde tu windows, por supuesto) en su memoria ram. Llega un listo con un script y se vuelca parte de la memoria del servidor de Brazzers en su pc. Se pone a leerla y BINGO! Ahi estan tus credenciales
#30:
#24 el 99% del que hablas lo usan cada día al entrar en facebook, linkedin, gmail etc.
#45:
#8 ¿Qué cojones tiene que ver Linux con Hurd?
#27:
#24 ¿quieres decir que jamás te conectas a servidores que corran Apache?
Es un bug gravísimo que lleva desde 2012 y que se ha descubierto esta semana.
Las versiones afectadas de OpenSSL (usado por el 70% de los servidores en Internet) van desde la 1.0.1 hasta la 1.0.1f. La versión 1.0.1g ha sido publicada ayer y puede ser instalada a través de estos PPA si usas ubuntu: https://launchpad.net/~george-edison55/+archive/openssl-heartbleed-fix
Las recomendaciones genéricas son APAGA TU SERVIDOR, ACTUALIZA, REGENERA LOS CERTIFICADOS SSL Y ENCIENDE.
Esto es un puto coñazo (regenerar los certificados de todos los servidores), pero como mínimo sí se debe actualizar cuanto antes a OpenSSL 1.0.1g y reiniciar todos los servicios asociados a SSL o simplemente reiniciar el servidor.
Que quiere decir que el bug exista desde 2012? Pués que todos los usuarios, contraseñas e información sensible que has usado desde esa fecha estuvieron expuestos a quién conocía el bug y ninguno de esos datos podrían ya ser seguros.
Creo que es el bug más crítico asociado a servidores y seguridad de las comunicaciones desde hace muuuuucho tiempo.
#85 seria mas correcto detener los servicios susceptibles de ser vulnerables porque tienen dependencias de OpenSSL (o cualquier otro afectado, según sea el caso).
La mitra alternativa es que lo quites de producción y vuelvas a ponerlo en producción una vez resuelto. De hecho es básico no conectar una maquina a la red de producción hasta que no cumpla unos mínimos de seguridad.
y yo no los ejecuto para conectarme a páginas HTTPS. Si lo haces tú, enhorabuena. Escríbelo en tu blog y luego envíalo a menéame que seguro que te lo publican, dado el nivel intelectualoide que pulula por aquí
#39 vale, no estabas de coña. Que mas da lo que tu ejecutes o dejes de ejecutar? Te has leido en que consiste el 0day?
Para ponerte un ejemplo:
Te logueas en brazzers con tu user y tu pass, el servidor almacena tu cookie y/o tu peticion de login (desde tu windows, por supuesto) en su memoria ram. Llega un listo con un script y se vuelca parte de la memoria del servidor de Brazzers en su pc. Se pone a leerla y BINGO! Ahi estan tus credenciales
#47#48 Me estáis dando la razón. Los que deben preocuparse son los administradores de sistema, que deben actualizar OpenSSL urgentemente a la versión 1.0.2 en todos los servidores y volver a generar los certificados. Nada más que eso. Los usuarios no tienen que hacer nada. Ni siquiera actualizar el navegador.
#56 Eso sí, pero vuelvo a repetir que el usuario no utiliza OpenSSL en su equipo. Si lo hiciera, tendría que actualizar el navegador también. Y no lo hace. Por ende, aquí la mayoría de la gente miente. Y cuando miente, es porque ha perdido. Y cuando ha perdido, la única escapatoria que le queda es el insulto (véase #54 y #55)
#51#54 solemne estupidez. Los que deben preocuparse SON TODO LOS USUARIOS DE INTERNET ya que sus datos han estado expuestos durante dos años a quien conociera el bug. Seas administrador o no, tus usuarios y contraseñas pueden estar comprometidas, y si te preocupa la seguridad deberías cambiarlas. Lo dicho, no tienes ni idea de lo que comentas.
#59 En actualizar OpenSSL no se deben de preocupar (porque no lo tienen instalado). Ni el navegador. Eso es de lo que hablo. Sin embargo, vas leyendo lo que te parece, y así es más fácil rebatirme
#58 se va por la tangente, rectifica y luego llora. :megaroll
#62 sí, sí... "Los que deben preocuparse son los administradores de sistema, que deben actualizar OpenSSL urgentemente a la versión 1.0.2 en todos los servidores y volver a generar los certificados. Nada más que eso. Los usuarios no tienen que hacer nada."
#39 qué tendrán que ver tus binarios para Windows con la versión OpenSSL que se ejecute en el servidor al que te conectas. El problema está en el servidor no en tus binarios (que también pueden disponer del bug).
#39 no es necesario que tu ejecutes nada. Si los servidores a los que te conectas tienen una versión vulnerable de OpenSSL tus datos en ese servidor pueden ser comprometidos.
#65 correcto. Pero revisa la conversación desde el principio y comprueba cómo se fue desviando el tema hacia los intereses de los propios fanboys. Lástima que la mayoría han terminado huyendo despavoridos. Ejemplo, la crítica de #21 es falsa, pero sin embargo es al mismo tiempo aplaudida porque se postula a favor de la comunidad del software libre. Lástima la cantidad de fanboys que hay en menéame
#12 Ja, el problema es que el bug, aunque lo hayan parcheado hoy, ha permitido que durante unas horas, días, o lo que sea (algunos no han parcheado sus sistemas ni lo harán en meses) se haya podido leer la memoria del servidor.
Cosas que están en la memoria del servidor:
- Tickets de autenticación
- Las claves privadas de SSL
- Cookies, ususarios, etc
Así que aunque, por ejemplo, tu server con debian lo hayan parcheado hoy a las 15:00, si yo te saqué la info a las 14:55, si no has revocado/renovado tu certificado, y los usuarios cambiados sus claves etc pues no vale de nada. Por no mencionar que si yo tengo tráfico SSL que capturé y lo conservo guardado anterior al cambio, con las claves puedo descifrarlo, parchees o no parchees, renueves el cert o no.
Es decir, las consecuencias de este fallo las veremos poco a poco, pero es de lo más grave que se ha visto en años, de antigua, irrelevante, etc nada de nada, más bien yo diría que se está infravalorando mucho el problema.
PD: Esto no son suposiciones, lo he probado en mis servers por la mañana, y alguno más de conocidos etc, igual que lo he hecho yo, habrá cientos o miles de personas que lo han hecho/están haciendo, aún a esta hora hay servicios online que siguen teniendo el bug.
#34 Algo falla cuando a "miles de ojos" se les escapan fallos con tantos años y con más años aún como uno que salió hace unos meses que creo que era de 2007, o el otro de openssl de 2008 descubierto en 2013...
#81 Sólo puede leer 64KB y 64KB y 64KB de forma reiterativa de tal modo que obtienes bastante más que esos 64KB
#83 evidentemente... que no hay medios para poder revisar línea a línea todo el código. En contra de la creencia popular tanto la programación como las pruebas de código son un proceso más artesanal que otra cosa, lo que hace que defectos de diseño o implementación puedan pasar desapercibidos durante años.
#23 el problema es que no había sido detectado antes y hoy ha sido cuando han empezado a aparecer pruebas de concepto con el codigo del exploit... Es decir, antes habría gente que lo usaría pero, desde luego, mucha menos que lo que lo estará haciendo hoy con la información que se ha publicado.
Lo preocupante es que en los últimos meses se han visto comprometidos todos los cifrados de prácticamente todos los sistemas operativos. Aunque creo que este es el más grave, teniendo en cuenta que es una librería que se usará en cantidad de servidores de internet.
Es muy difícil saberlo, pero de descubrirse que la NSA está detrás de todos estos fallos, la cosa sería muy preocupante...
#32 Hoy sí me da para flame... El tema de que mil ojos ven más que 2 es muy recurrente en el OS, esto demuestra una vez más que todos los sistemas están troyanizados y da lo mismo que sea abierto o cerrado.
#46 ¿Por qué te crees que se ha llegado a tan bajo nivel en el hacking de los chips de Intel? ¿Por qué crees que Joanna Rutkowska hackea intel y no mipsel? No es más seguro, es menos mainstream.
para los garrulos que se rien de linux (y los fanboys de linux que hacen el ridiculo)
Linux es de código abierto. Esto quiere decir que muchos ojos pueden descubrir lo que hay ahí, revisarlo, crear entornos controlados de compilacion, escribir parches y mejoras, etc.
Obiamente, no quita que tenga bugs, defender que linux es la leche de bien hecho no tiene sentido, y hay muchas partes manifiestamente mejorables.
Pero lo que pone de manifiesto el bug es que se puede solucionar, se descubre, y colectivamente se puede buscar una solucion. Al darle publicidad al asunto, es más fácil atacar usando el bug, pero más probable que los sysadmins se defiendan correctamente.
#89 El problema ocurrido no tiene mucho que ver con que el software sea libre o no, sino que se trata de un error de programación o implementación con consecuencias graves. Todo el software tiene bugs, independientemente de si es libre o no.
La diferencia es que un software no-libre, del que no tienes código, es una caja negra y no sabes lo que hay dentro. Puede que haya los mismos errores, o más, que en un software libre, pero dependes de la compañía que te ha vendido el producto para su corrección. En el caso del software libre, la corrección de la vulnerabilidad viene de la mano de la publicación de la misma.
Si no, piensa en la de veces que se ha publicado una vulnerabilidad de Windows, Acrobar Reader,... y han tardado días (o más) en corregirlas.
#89 Si tuvieras razón jamás se hubiese descubierto el problema: "Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley and Bodo Moeller for preparing the fix." https://www.openssl.org/news/secadv_20140407.txt
Ahora pregúntate cuantas aplicaciones privativas son vulnerables y nunca se sabrá públicamente.
#95 y las públicas acaso las sabes? venga anda, no me hagas reír. No se realiza una auditoría a nivel de código prácticamente en ninguna aplicación de software libre, así que casi que es el mismo problema que el software privativo. En uno el problema es la oscuridad y nadie puede ver, y en el otro hay luz pero todos son ciegos
#95 Los errores rara vez se encuentra mirando el código, si fuese tan importante el código para encontrar bugs entonces el soft privativo sería más seguro porque no hay código en el que buscar.
Los miles de ojos son más un mito que otra cosa y bugs en soft privativo a pesar de no haber código se descubren bastantes.
El código es útil para después arreglar el problema.
Que te enteres no significa que Microsoft publique el fallo antes de ser arreglado, no al menos con detalles que te ayuden a explotarlo. Es la norma ya sea en soft libre o privado.
Sigo diciendo que perdéis el fondo del asunto, el caso no es si afecta/no afecta a X o a Y o si han tardado 0 o 0,1 en parchearlo, el fondo es que la información YA está comprometida, las pass de los servicios que usamos todos, el cifrado de las comunicaciones que hemos dado por sentado que estaban seguras.
Afecta a todo dios, el que no lo vea es que está un poco cegato
#97
Ya pero es que aprovecharse de una vulnerabilidad nunca deja rastros. Los rastros son los que el atacante pueda dejar una vez está dentro de tu sistema gracias a la vulnerabilidad.
#96
Si sabes de seguridad también sabrías que te enteras de los fallos del Windows antes de que las correcciones sean publicadas.
#99 Pues depende, hay algunas vulnerabilidades que al ser explotadas dejan rastro (que se puede o no eliminar) y otras que no.
Si, por ejemplo, descubro tu contraseña de Menéame (vulnerabilidad) y entro con ella en el sistema, en algún sitio se va a quedar almacenado mi hora de login y mi IP como poco (rastro). Si no tengo acceso a los logs de Menéame y no puedo borrar esa información, más tarde se podrá comprobar si alguien se ha conectado usando tu cuenta desde una IP no habitual.
Buenas tardes, para corregir el problema en un servidor de Correo Zimbra - http://t.co/xWezbU2Bbh (Sí es mi Blog, pero escribo cada día acerca de Zimbra) Espero os ayude a corregir este problema.
#89 Y tienes razón en que el código nadie lo mira (o más bien sólo el 0.001% de los usuarios), pero es que en el caso del software propietario, ni siquiera es posible.
Insisto, un software no es más seguro por ser libre o no. La oscuridad no es sinónimo de seguridad.
#72 otro que no se entera. Twitter ya corrigió la vulnerabilidad. Ve corriendo ya a cambiar tu contraseña, que seguro que todos los que están aquí ya lo hicieron
Una pregunta de novata:
- ¿La velocidad en corregir el problema es porque ya estaban avisados y trabajando en ello, o en realidad lo han resuelto "al vuelo" tras ser avisados?
Si quieres, digamos que se trata de una violación de un sistema aprovechando una vulnerabilidad. ¿Mejor?
De todas formas, llevarte una bici sin candado sigue siendo robar, así que... sed buenos y no os aprovechéis de las vulnerabilidades ajenas. Eso es de script kiddies.
#71 Esto es mucho peor. Con el blaster lo máximo que te pasaba es que te apagan el equipo. Con este bug, las credenciales de la gente están seriamente amenazadas (intimidad de la gente, dinero etc). No es nada comparable
#75 ¿Y la puerta trasera que dejaba instalada el blaster dando a cualquiera la posibilidad de acceso remoto total sobre tu equipo?
Cierto, no es para nada comparable. Con este bug "sólo" se puede leer parte de la memoria. Además, es un fallo de una librería multiplataforma. No el fallo de un sistema operativo concreto.
Hazte un favor y vete a tomarte un café. Que llevas un buen rato haciendo el ridículo.
#76 Pa los listos que votan negativo porque no les gusta lo que oyen, debo decir que este bug fue encontrado en diciembre de 2011, y publicado en en marzo de 2012 y hasta ayer día 7 de abril de 2014 no se ha resuelto. Windows lo que hace es detectar, callarse la boca, solucionarlo y luego ya publica un informe que lo usan los "malvados" para atacar a quien no se actualiza.
Y esto no lo digo para defender a Windows, que sobra decir que no me gusta. Simplemente relato una realidad que alguien ha dicho de forma errónea. A partir de ahí que cada uno haga lo que quiera.
#84 " Windows lo que hace es detectar, callarse la boca, solucionarlo y luego ya publica un informe que lo usan los "malvados" para atacar a quien no se actualiza."
Ya, claro. Mejor callarse para que los usuarios sin actualizar no protejan el servicio de alguna forma y después los "malvados" hagan y deshagan riéndose de MS.
#86 Yo te explico, no te preocupes. El código de Windows es cerrado, cuando ellas detectan un error, no dicen nada porque si lo dijeran lo atacarían. Cuando lo tienen solventado te dan la actualización y te publican un informe con la vulnerabilidad resuelta. El problema es que la gente no se mantiene actualizada y claro, ese informe en las manos de un maleante, hace que se aproveche de la vulnerabilidad de aquellas personas que no la han solventado actualizando. ¿Lo has entendido ahora? Y vuelvo a reiterar que a mi Windows no me gusta, ni lo uso. Porque aquí parece que si dices algo a favor de windows ya eres un ser despreciable.
#93 Me parece a mi que no estas muy puesto, hay vulnerabilidades que se reportan a Microsoft y que incluso están siendo explotadas activamente que tardan meses en ser corregidas:
#86 No lo has entendido, Microsoft calla mientras no hay parche y lo publica cuando ya hay parche para que todos se enteren y actualicen.
Pero esto también se hace con el soft libre, no es la primera vez que sale la corrección de un error antes de ser "encontrado" (en realidad publicado). Recuerdo uno de Firefox en el que todos aplaudían lo rápido que eran "corrigiendo fallos".
#84 En realidad, lleva en el código desde diciembre de 2011 y está "en la calle" desde la versión OpenSSL 1.0.1 de marzo de 2012, pero se ha publicado ahora. Otra cosa es que alguien lo haya descubierto en algún momento desde el 2012 y lo haya estado usando en su beneficio, y sin dejar rastro.
#88 Para que luego digan que el software libre es más seguro. Yo diría más bien al contrario, porque crea falsa sensación de seguridad, al igual que los antivirus. El código está ahí, lo puedes ver, pero a la hora de la verdad, nadie lo mira. TrueCrypt es otro gran ejemplo de esto
#76#84 No es de extrañar que alguien que defiende la "seguridad por oscuridad" no se entere de la fiesta.
- El bug no ha sido "encontrado" en 2011, esa es la fecha cuando fue "creado".
- No ha sido "publicado" en 2012, sino "distribuido" (el software con el bug).
- Ha sido resuelto 2 días después de haber sido detectado.
Windows nunca, jamás, ha corregido ningún bug en tan poco tiempo, en los casi 30 años que lleva existiendo.
#4 Tu no sabes lo que es la informática. Decir que Linux es invulnerable es como decir que el error humano no existe. Pero bueno, todo sea por la causa .... de Microsoft, Apple ...
En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan. No dependemos de intereses comerciales de empresas que quizás (solo quizás!) prioricen sus oportunidades de negocio por delante del interés de sus clientes.
#5 "En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan"
Como en todos los sistemas operativos. Es más me atrevería a decir que en Linux cuesta más. Porque en Linux primero se dice la vulnerabilidad y luego se arregla. En Windows por ejemplo se corrige y luego se explica con detalle, publican informes y todo. Momento que usan los creadores de virus y hackers para aprovechar la vulnerabilidad de los incautos que no se han instalado la actualización que resuelve el problema.
#c-4" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2154140/order/4">#4 La actualización está disponible desde antes de la noticia.
root@Clavicordio:/home/clavicordio# apt-get update && apt-get upgrade
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
Se actualizarán los siguientes paquetes:
libssl1.0.0 openssh-client openssl
#13 Ahora es cuando sales de Fantasía y te enteras que OpenSSL también lo hay y se usa en Windows. No en vano lo bueno que tiene el software libre es que cualquiera, con conocimientos, puede parchear una aplicación que haya creado otro y con el software privativo necesitas esperar a que la empresa de turno, o persona que haya desarrollado la susodicha, lo haga.
Por cierto en Ubuntu/Kubuntu ya está parcheado. Kubuntu desde ayer.
#13 OpenSSL es una librería, la mas usada para SSL, como zlib lo es para el formato Zip. Lo que significa que esto afecta a miles de programas de Linux, pero también de Windows, de Mac OS, de iOS y de Android. Y de OS/2, y de BeOS y Haiku, y ... podria seguir horas. OpenSSL lo usa todo cristo. Por no hablar de casi todos los servidores, tanto web, como de correo, muchos servers de juegos (suelen usar ssl para el login al menos). Creo que gmail y otros servidores de correo se libran por usar TLS.
Comentarios
Es un bug gravísimo que lleva desde 2012 y que se ha descubierto esta semana.
Las versiones afectadas de OpenSSL (usado por el 70% de los servidores en Internet) van desde la 1.0.1 hasta la 1.0.1f. La versión 1.0.1g ha sido publicada ayer y puede ser instalada a través de estos PPA si usas ubuntu: https://launchpad.net/~george-edison55/+archive/openssl-heartbleed-fix
Las recomendaciones genéricas son APAGA TU SERVIDOR, ACTUALIZA, REGENERA LOS CERTIFICADOS SSL Y ENCIENDE.
Esto es un puto coñazo (regenerar los certificados de todos los servidores), pero como mínimo sí se debe actualizar cuanto antes a OpenSSL 1.0.1g y reiniciar todos los servicios asociados a SSL o simplemente reiniciar el servidor.
Que quiere decir que el bug exista desde 2012? Pués que todos los usuarios, contraseñas e información sensible que has usado desde esa fecha estuvieron expuestos a quién conocía el bug y ninguno de esos datos podrían ya ser seguros.
Creo que es el bug más crítico asociado a servidores y seguridad de las comunicaciones desde hace muuuuucho tiempo.
#25 Si apago el servidor no puedo actualizar nada.
#85 seria mas correcto detener los servicios susceptibles de ser vulnerables porque tienen dependencias de OpenSSL (o cualquier otro afectado, según sea el caso).
La mitra alternativa es que lo quites de producción y vuelvas a ponerlo en producción una vez resuelto. De hecho es básico no conectar una maquina a la red de producción hasta que no cumpla unos mínimos de seguridad.
#24 el 99% del que hablas lo usan cada día al entrar en facebook, linkedin, gmail etc.
#27 #29 #30 #31 que yo sepa los binarios de OpenSSL para windows están aquí:
http://www.openssl.org/related/binaries.html
y yo no los ejecuto para conectarme a páginas HTTPS. Si lo haces tú, enhorabuena. Escríbelo en tu blog y luego envíalo a menéame que seguro que te lo publican, dado el nivel intelectualoide que pulula por aquí
#39 vale, no estabas de coña. Que mas da lo que tu ejecutes o dejes de ejecutar? Te has leido en que consiste el 0day?
Para ponerte un ejemplo:
Te logueas en brazzers con tu user y tu pass, el servidor almacena tu cookie y/o tu peticion de login (desde tu windows, por supuesto) en su memoria ram. Llega un listo con un script y se vuelca parte de la memoria del servidor de Brazzers en su pc. Se pone a leerla y BINGO! Ahi estan tus credenciales
#47 #48 Me estáis dando la razón. Los que deben preocuparse son los administradores de sistema, que deben actualizar OpenSSL urgentemente a la versión 1.0.2 en todos los servidores y volver a generar los certificados. Nada más que eso. Los usuarios no tienen que hacer nada. Ni siquiera actualizar el navegador.
Por favor, dejad de engañar a la gente
#52 Revísatelo por favor. Yo solo digo que la gente no utiliza OpenSSL en sus clientes. Ver #51
#56 Eso sí, pero vuelvo a repetir que el usuario no utiliza OpenSSL en su equipo. Si lo hiciera, tendría que actualizar el navegador también. Y no lo hace. Por ende, aquí la mayoría de la gente miente. Y cuando miente, es porque ha perdido. Y cuando ha perdido, la única escapatoria que le queda es el insulto (véase #54 y #55)
#57 y eso nos lleva al lado oscuro...
#61 y #63 vuestro sitio está en forocoches. Allí seréis bienvenidos
#51 #54 solemne estupidez. Los que deben preocuparse SON TODO LOS USUARIOS DE INTERNET ya que sus datos han estado expuestos durante dos años a quien conociera el bug. Seas administrador o no, tus usuarios y contraseñas pueden estar comprometidas, y si te preocupa la seguridad deberías cambiarlas. Lo dicho, no tienes ni idea de lo que comentas.
#59 En actualizar OpenSSL no se deben de preocupar (porque no lo tienen instalado). Ni el navegador. Eso es de lo que hablo. Sin embargo, vas leyendo lo que te parece, y así es más fácil rebatirme
#58 se va por la tangente, rectifica y luego llora. :megaroll
#62 sí, sí... "Los que deben preocuparse son los administradores de sistema, que deben actualizar OpenSSL urgentemente a la versión 1.0.2 en todos los servidores y volver a generar los certificados. Nada más que eso. Los usuarios no tienen que hacer nada."
#62 "En actualizar OpenSSL no se deben de preocupar (porque no lo tienen instalado). Ni el navegador."
Claro, por eso mi cliente de correo, Alpine, depende de OpenSSL. Te recuerdo que es una librería y tal.
(libssl)
#62 wtf????
#51 que si que si, pero que yo cambiaria todas mis contraseñas de las webs con ssl en las que haya logueado hoy, solo por si acaso
#39 Windows usa OpenSSL internamente. Tus juegos y aplicaciones, también.
#39 qué tendrán que ver tus binarios para Windows con la versión OpenSSL que se ejecute en el servidor al que te conectas. El problema está en el servidor no en tus binarios (que también pueden disponer del bug).
Para este comentario sólo puedo decir ...
#39 eres mu tonto.
#39 no es necesario que tu ejecutes nada. Si los servidores a los que te conectas tienen una versión vulnerable de OpenSSL tus datos en ese servidor pueden ser comprometidos.
#65 correcto. Pero revisa la conversación desde el principio y comprueba cómo se fue desviando el tema hacia los intereses de los propios fanboys. Lástima que la mayoría han terminado huyendo despavoridos. Ejemplo, la crítica de #21 es falsa, pero sin embargo es al mismo tiempo aplaudida porque se postula a favor de la comunidad del software libre. Lástima la cantidad de fanboys que hay en menéame
Aquí se puede probar si un sitio es vulnerable: http://filippo.io/Heartbleed/
#24 ¿quieres decir que jamás te conectas a servidores que corran Apache?
#24 #27 ni tampouco nunca ha consultado ninguna web bajo HTTPS ni siquiera se ha conectado a ningún servidor de correo con seguridad bajo SSL.
Antigua. Desde hace horas las mayores distros lo tienen parcheado
Bueno... los de Seattle y los de Cupertino no han corrido tanto
#12 Ja, el problema es que el bug, aunque lo hayan parcheado hoy, ha permitido que durante unas horas, días, o lo que sea (algunos no han parcheado sus sistemas ni lo harán en meses) se haya podido leer la memoria del servidor.
Cosas que están en la memoria del servidor:
- Tickets de autenticación
- Las claves privadas de SSL
- Cookies, ususarios, etc
Así que aunque, por ejemplo, tu server con debian lo hayan parcheado hoy a las 15:00, si yo te saqué la info a las 14:55, si no has revocado/renovado tu certificado, y los usuarios cambiados sus claves etc pues no vale de nada. Por no mencionar que si yo tengo tráfico SSL que capturé y lo conservo guardado anterior al cambio, con las claves puedo descifrarlo, parchees o no parchees, renueves el cert o no.
Es decir, las consecuencias de este fallo las veremos poco a poco, pero es de lo más grave que se ha visto en años, de antigua, irrelevante, etc nada de nada, más bien yo diría que se está infravalorando mucho el problema.
PD: Esto no son suposiciones, lo he probado en mis servers por la mañana, y alguno más de conocidos etc, igual que lo he hecho yo, habrá cientos o miles de personas que lo han hecho/están haciendo, aún a esta hora hay servicios online que siguen teniendo el bug.
#12 #16 Bueno, "tan solo" lleva ahí desde marzo de 2012.
#23 Diciembre de 2011:
http://heartbleed.com/
#26 Vaya, peor aún
#34 Algo falla cuando a "miles de ojos" se les escapan fallos con tantos años y con más años aún como uno que salió hace unos meses que creo que era de 2007, o el otro de openssl de 2008 descubierto en 2013...
#81 Sólo puede leer 64KB y 64KB y 64KB de forma reiterativa de tal modo que obtienes bastante más que esos 64KB
#83 evidentemente... que no hay medios para poder revisar línea a línea todo el código. En contra de la creencia popular tanto la programación como las pruebas de código son un proceso más artesanal que otra cosa, lo que hace que defectos de diseño o implementación puedan pasar desapercibidos durante años.
#23 el problema es que no había sido detectado antes y hoy ha sido cuando han empezado a aparecer pruebas de concepto con el codigo del exploit... Es decir, antes habría gente que lo usaría pero, desde luego, mucha menos que lo que lo estará haciendo hoy con la información que se ha publicado.
Me recuerda a...
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
#7 Error del programador de un lenguaje que permite las condiciones sin llaves.
Este error sigue al de GNuTLS: Linux: bug crítico compromete cientos de aplicaciones [ENG]
Linux: bug crítico compromete cientos de aplicacio...
arstechnica.comDe hecho, en los comentarios de la otra, alguna gente se alegraba de tener la opción de usar OpenSSL (linux-bug-critico-compromete-cientos-applicaciones-eng/c04#c-4)
Lo preocupante es que en los últimos meses se han visto comprometidos todos los cifrados de prácticamente todos los sistemas operativos. Aunque creo que este es el más grave, teniendo en cuenta que es una librería que se usará en cantidad de servidores de internet.
Es muy difícil saberlo, pero de descubrirse que la NSA está detrás de todos estos fallos, la cosa sería muy preocupante...
Primero GNUTLS y ahora OpenSSL
En OpenBSD ya lo han corregido
http://undeadly.org/cgi?action=article&sid=20140408063423
#32 Hoy sí me da para flame... El tema de que mil ojos ven más que 2 es muy recurrente en el OS, esto demuestra una vez más que todos los sistemas están troyanizados y da lo mismo que sea abierto o cerrado.
#35 "esto demuestra una vez más que todos los sistemas están troyanizados "
Si quieres algo seguro te bajas OpenBSD y te dejas de paranoias.
Y sobre todo en un PC que no sea Intel.
Un MIPSEL de Longsoon o un PowerMac G4 es perfecto en plan de seguridad.
#36 JAJAJA, adoro tu MIPSEL siempre acaba saliendo
#41 Si quieres seguridad, es lo que hay. En las ultimas CPU de Intel, en la BIOS, se permite un acceso remoto. No me fio.
#46 ¿Por qué te crees que se ha llegado a tan bajo nivel en el hacking de los chips de Intel? ¿Por qué crees que Joanna Rutkowska hackea intel y no mipsel? No es más seguro, es menos mainstream.
para los garrulos que se rien de linux (y los fanboys de linux que hacen el ridiculo)
Linux es de código abierto. Esto quiere decir que muchos ojos pueden descubrir lo que hay ahí, revisarlo, crear entornos controlados de compilacion, escribir parches y mejoras, etc.
Obiamente, no quita que tenga bugs, defender que linux es la leche de bien hecho no tiene sentido, y hay muchas partes manifiestamente mejorables.
Pero lo que pone de manifiesto el bug es que se puede solucionar, se descubre, y colectivamente se puede buscar una solucion. Al darle publicidad al asunto, es más fácil atacar usando el bug, pero más probable que los sysadmins se defiendan correctamente.
En el general, en inglés: The Heartbleed Bug [ENG]
The Heartbleed Bug [ENG]
heartbleed.comY en un sub, también en inglés: Descubierta vulnerabilidad crítica en OpenSSL [en]
Descubierta vulnerabilidad crítica en OpenSSL [en]
news.idg.no(No la voy a votar negativo porque es una noticia importante y debería conocerse).
#1 En el general no estaba en español. Por la gravedad del bug, me ha parecido interesante enviarla al general en español.
#2 Totalmente. Es una noticia importante. A ver si hay suerte.
#3 Perdón por el negativo, he pulsado el botoncito por error...
#78 Jeje tranqui, a todos se nos ha ido la mano y según pinchamos hemos dicho "ups"
#89 El problema ocurrido no tiene mucho que ver con que el software sea libre o no, sino que se trata de un error de programación o implementación con consecuencias graves. Todo el software tiene bugs, independientemente de si es libre o no.
La diferencia es que un software no-libre, del que no tienes código, es una caja negra y no sabes lo que hay dentro. Puede que haya los mismos errores, o más, que en un software libre, pero dependes de la compañía que te ha vendido el producto para su corrección. En el caso del software libre, la corrección de la vulnerabilidad viene de la mano de la publicación de la misma.
Si no, piensa en la de veces que se ha publicado una vulnerabilidad de Windows, Acrobar Reader,... y han tardado días (o más) en corregirlas.
A ver si a la tercera.. porque el tema es MUY grave.
El código del arreglo. Como siempre pasa con estas cosas bastante tonto:
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902
#70 Hombre.. es algo más que un true/goto/false/return
#74 siento el negativo, me he liado con los botones
Algo hace el arreglo, pero nada comparado con todo el trabajo que ha llevado avisar y que va a llevar actualizar...
#89 Si tuvieras razón jamás se hubiese descubierto el problema: "Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley and Bodo Moeller for preparing the fix." https://www.openssl.org/news/secadv_20140407.txt
Ahora pregúntate cuantas aplicaciones privativas son vulnerables y nunca se sabrá públicamente.
#95 y las públicas acaso las sabes? venga anda, no me hagas reír. No se realiza una auditoría a nivel de código prácticamente en ninguna aplicación de software libre, así que casi que es el mismo problema que el software privativo. En uno el problema es la oscuridad y nadie puede ver, y en el otro hay luz pero todos son ciegos
#100 Los de OpenBSD quiere discutir ciertas cosas contigo, sobre todo en las aplicaciones que empaquetan y parchean.
Prácticamente todo está compilado contra strlcpy, eso para empezar.
#95 Los errores rara vez se encuentra mirando el código, si fuese tan importante el código para encontrar bugs entonces el soft privativo sería más seguro porque no hay código en el que buscar.
Los miles de ojos son más un mito que otra cosa y bugs en soft privativo a pesar de no haber código se descubren bastantes.
El código es útil para después arreglar el problema.
#99 Vaya, entonces Microsoft no esconde nada.
Que te enteres no significa que Microsoft publique el fallo antes de ser arreglado, no al menos con detalles que te ayuden a explotarlo. Es la norma ya sea en soft libre o privado.
Sigo diciendo que perdéis el fondo del asunto, el caso no es si afecta/no afecta a X o a Y o si han tardado 0 o 0,1 en parchearlo, el fondo es que la información YA está comprometida, las pass de los servicios que usamos todos, el cifrado de las comunicaciones que hemos dado por sentado que estaban seguras.
Afecta a todo dios, el que no lo vea es que está un poco cegato
Un script en Python para comprobar el fallo o para tocarlo un poco y hacer cosas más divertidas.
http://s3.jspenguin.org/ssltest.py
#24 espero que estés siendo sarcástico. En ese caso tienes mis dies.
¿alguno utiliza Yahoo ? pffffffffff
Normal que se olvide, porque ya está corregido, en el mismo día (ayer) que se publicó la vulnerabilidad.
apt-get update && apt-get upgrade.
#69 la vulnerabilidad lleva ahí desde hace años. A saber cuánta pasta han ganado aprovechando ese bug
#89 Con el final de soporte de XP verás que tu que pifostio se monta al no tener ni código fuente disponible siquiera.
#97
Ya pero es que aprovecharse de una vulnerabilidad nunca deja rastros. Los rastros son los que el atacante pueda dejar una vez está dentro de tu sistema gracias a la vulnerabilidad.
#96
Si sabes de seguridad también sabrías que te enteras de los fallos del Windows antes de que las correcciones sean publicadas.
#99 Pues depende, hay algunas vulnerabilidades que al ser explotadas dejan rastro (que se puede o no eliminar) y otras que no.
Si, por ejemplo, descubro tu contraseña de Menéame (vulnerabilidad) y entro con ella en el sistema, en algún sitio se va a quedar almacenado mi hora de login y mi IP como poco (rastro). Si no tengo acceso a los logs de Menéame y no puedo borrar esa información, más tarde se podrá comprobar si alguien se ha conectado usando tu cuenta desde una IP no habitual.
Es un ejemplo tonto, pero igual se entiende.
Buenas tardes, para corregir el problema en un servidor de Correo Zimbra - http://t.co/xWezbU2Bbh (Sí es mi Blog, pero escribo cada día acerca de Zimbra) Espero os ayude a corregir este problema.
Un saludo
#89 Y tienes razón en que el código nadie lo mira (o más bien sólo el 0.001% de los usuarios), pero es que en el caso del software propietario, ni siquiera es posible.
Insisto, un software no es más seguro por ser libre o no. La oscuridad no es sinónimo de seguridad.
edit.
Que nadie use Yahoo ni Twitter!
http://filippo.io/Heartbleed/#yahoo.com
http://filippo.io/Heartbleed/#twitter.com
y así un largo etc.
#72 otro que no se entera. Twitter ya corrigió la vulnerabilidad. Ve corriendo ya a cambiar tu contraseña, que seguro que todos los que están aquí ya lo hicieron
Una pregunta de novata:
- ¿La velocidad en corregir el problema es porque ya estaban avisados y trabajando en ello, o en realidad lo han resuelto "al vuelo" tras ser avisados?
#60 Al vuelo
Sólo permite leer 64KB de memoria y es un bug muy específico. Se puede averiguar si alguien ha aprovechado dicha vulnerabilidad.
#81 Según dicen, el "ataque" no deja rastros, así que no se puede saber si un sistema se ha visto comprometido.
#87
¿Qué consideras ataque? Un ataque sería aprovecharse de esta vulnerabilidad. La vulnerabilidad no es un ataque en sí mismo.
#91 Por eso lo pongo entre comillas.
Si quieres, digamos que se trata de una violación de un sistema aprovechando una vulnerabilidad. ¿Mejor?
De todas formas, llevarte una bici sin candado sigue siendo robar, así que... sed buenos y no os aprovechéis de las vulnerabilidades ajenas. Eso es de script kiddies.
estamos hablando de un bug tremendo, a nivel blaster o sasser en sistemas Microsoft, o aún peor. Aquello todavía se recuerda. Esto se olvidará mañana.
#68 " estamos hablando de un bug tremendo, a nivel blaster o sasser en sistemas Microsoft, o aún peor. "
No flipes, el Blaster caía con conectar el XP a la red antes de instalarlo . Con Ubuntu directamente te estoy hablando desde clase en uno de ellos.
Estás comparando una gripe con un cáncer terminal.
#71 Esto es mucho peor. Con el blaster lo máximo que te pasaba es que te apagan el equipo. Con este bug, las credenciales de la gente están seriamente amenazadas (intimidad de la gente, dinero etc). No es nada comparable
#75 ¿Y la puerta trasera que dejaba instalada el blaster dando a cualquiera la posibilidad de acceso remoto total sobre tu equipo?
Cierto, no es para nada comparable. Con este bug "sólo" se puede leer parte de la memoria. Además, es un fallo de una librería multiplataforma. No el fallo de un sistema operativo concreto.
Hazte un favor y vete a tomarte un café. Que llevas un buen rato haciendo el ridículo.
cc #71
#76 Pa los listos que votan negativo porque no les gusta lo que oyen, debo decir que este bug fue encontrado en diciembre de 2011, y publicado en en marzo de 2012 y hasta ayer día 7 de abril de 2014 no se ha resuelto. Windows lo que hace es detectar, callarse la boca, solucionarlo y luego ya publica un informe que lo usan los "malvados" para atacar a quien no se actualiza.
Y esto no lo digo para defender a Windows, que sobra decir que no me gusta. Simplemente relato una realidad que alguien ha dicho de forma errónea. A partir de ahí que cada uno haga lo que quiera.
#84 " Windows lo que hace es detectar, callarse la boca, solucionarlo y luego ya publica un informe que lo usan los "malvados" para atacar a quien no se actualiza."
Ya, claro. Mejor callarse para que los usuarios sin actualizar no protejan el servicio de alguna forma y después los "malvados" hagan y deshagan riéndose de MS.
#86 Yo te explico, no te preocupes. El código de Windows es cerrado, cuando ellas detectan un error, no dicen nada porque si lo dijeran lo atacarían. Cuando lo tienen solventado te dan la actualización y te publican un informe con la vulnerabilidad resuelta. El problema es que la gente no se mantiene actualizada y claro, ese informe en las manos de un maleante, hace que se aproveche de la vulnerabilidad de aquellas personas que no la han solventado actualizando. ¿Lo has entendido ahora? Y vuelvo a reiterar que a mi Windows no me gusta, ni lo uso. Porque aquí parece que si dices algo a favor de windows ya eres un ser despreciable.
#93 Me parece a mi que no estas muy puesto, hay vulnerabilidades que se reportan a Microsoft y que incluso están siendo explotadas activamente que tardan meses en ser corregidas:
http://unaaldia.hispasec.com/2014/03/microsoft-publica-una-alerta-por-una.html
http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html
http://unaaldia.hispasec.com/2010/01/tras-la-grave-vulnerabilidad-detectada.html
#86 No lo has entendido, Microsoft calla mientras no hay parche y lo publica cuando ya hay parche para que todos se enteren y actualicen.
Pero esto también se hace con el soft libre, no es la primera vez que sale la corrección de un error antes de ser "encontrado" (en realidad publicado). Recuerdo uno de Firefox en el que todos aplaudían lo rápido que eran "corrigiendo fallos".
#84 En realidad, lleva en el código desde diciembre de 2011 y está "en la calle" desde la versión OpenSSL 1.0.1 de marzo de 2012, pero se ha publicado ahora. Otra cosa es que alguien lo haya descubierto en algún momento desde el 2012 y lo haya estado usando en su beneficio, y sin dejar rastro.
Casi nada, dos años de "too many secrets"...
#88 Para que luego digan que el software libre es más seguro. Yo diría más bien al contrario, porque crea falsa sensación de seguridad, al igual que los antivirus. El código está ahí, lo puedes ver, pero a la hora de la verdad, nadie lo mira. TrueCrypt es otro gran ejemplo de esto
#76 #84 No es de extrañar que alguien que defiende la "seguridad por oscuridad" no se entere de la fiesta.
- El bug no ha sido "encontrado" en 2011, esa es la fecha cuando fue "creado".
- No ha sido "publicado" en 2012, sino "distribuido" (el software con el bug).
- Ha sido resuelto 2 días después de haber sido detectado.
Windows nunca, jamás, ha corregido ningún bug en tan poco tiempo, en los casi 30 años que lleva existiendo.
Yo creía que Linux era invulnerable
#4 Tu no sabes lo que es la informática. Decir que Linux es invulnerable es como decir que el error humano no existe. Pero bueno, todo sea por la causa .... de Microsoft, Apple ...
En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan. No dependemos de intereses comerciales de empresas que quizás (solo quizás!) prioricen sus oportunidades de negocio por delante del interés de sus clientes.
#5 #6 #8 No tengo ni puta idea de Linux lo confieso. Disculpad mi ignorancia
#37 Ya me he disculpado en #15. Tampoco hay que ensañarse
#44 No lo hice intencionadamente, no lo había visto.
#45 peleeea peleeeeea!
#5 "En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan"
Como en todos los sistemas operativos. Es más me atrevería a decir que en Linux cuesta más. Porque en Linux primero se dice la vulnerabilidad y luego se arregla. En Windows por ejemplo se corrige y luego se explica con detalle, publican informes y todo. Momento que usan los creadores de virus y hackers para aprovechar la vulnerabilidad de los incautos que no se han instalado la actualización que resuelve el problema.
#4 eso te pasa por creer lo que te cuentan... luego acaba uno echando la culpa a la herencia recibida
en todo caso, apache y openssl no son lo mismo que linux...
#4 ¿Qué cojones tiene que ver OpenSSL con el Kernel de GNU?
#8 No lo sé, pero yo diría que el Kernel de Linux es precisamente la parte de GNU/Linux que no es GNU
#17 du-dum dsh!!
#8 kernel de GNU
Vaya mentecato
#8 ¿Qué cojones tiene que ver Linux con Hurd?
#8 ¿Y qué cojones tiene que ver GNU con el kernel de Linux?
#8 Richard stallman's seal of approval
#4 mi vecina tiene una prima en Tarragona.
#13, la vecina de #11 tiene una prima en Tarragona.
#40
#4 Apache y OpenSSl se pueden instalar en windows y seguramente en OSX. Es una vulnerabilidad de aplicación no de sistema operativo.
#4 y yo creía que no quedaba gente tan burra para confundir una licencia de software y un nucleo de SO, pero así es la vida.
#c-4" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2154140/order/4">#4 La actualización está disponible desde antes de la noticia.
root@Clavicordio:/home/clavicordio# apt-get update && apt-get upgrade
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
Se actualizarán los siguientes paquetes:
libssl1.0.0 openssh-client openssl
Y luego dicen los frikis que Linux es seguro... y aparece ahora un error gravísimo que lleva ahí desde hace lustros.
A saber cuántos regalitos más hay así en todo el código fuente de las aplicaciones que utilizamos habitualmente (ya sea software libre o no)
#13 La diferencia es que hay distros ddonde a día de hoy ya se ha enviado el parche.
#13 Ahora es cuando sales de Fantasía y te enteras que OpenSSL también lo hay y se usa en Windows. No en vano lo bueno que tiene el software libre es que cualquiera, con conocimientos, puede parchear una aplicación que haya creado otro y con el software privativo necesitas esperar a que la empresa de turno, o persona que haya desarrollado la susodicha, lo haga.
Por cierto en Ubuntu/Kubuntu ya está parcheado. Kubuntu desde ayer.
Salu2
#21 Lo utilizarás tú, porque yo no tengo OpenSSL en mi Windows. Y estoy convencido que el 99% tampoco lo usa
#24
#24 Por ejemplo. Todos los que usen el DNI electrónico para conectarse a las diferentes webs de la Administración, entre otras lo usan:
http://www.dnielectronico.es/seccion_integradores/dniec_explicaciones.pdf
Salu2
#24 #146 Ha faltado tiempo (era previsible)
https://gist.github.com/thomasskora/10281460
#13 OpenSSL es una librería, la mas usada para SSL, como zlib lo es para el formato Zip. Lo que significa que esto afecta a miles de programas de Linux, pero también de Windows, de Mac OS, de iOS y de Android. Y de OS/2, y de BeOS y Haiku, y ... podria seguir horas. OpenSSL lo usa todo cristo. Por no hablar de casi todos los servidores, tanto web, como de correo, muchos servers de juegos (suelen usar ssl para el login al menos). Creo que gmail y otros servidores de correo se libran por usar TLS.