Video: 🔴 NOTICIAS DE VENEZUELA HOY, BUENAS NOTICIAS PARA EL PRESIDENTE TRUMP Y ULTIMAS NOTICIAS (Noviembre 2024)
Hay una nueva versión de OpenSSL y, sí, resulta que las versiones anteriores del paquete de seguridad tenían algunas vulnerabilidades graves. Sin embargo, estos defectos encontrados son algo bueno; No estamos viendo un desastre de proporciones Heartbleed.
A primera vista, el aviso de OpenSSL que enumera las siete vulnerabilidades que se han corregido en OpenSSL parece ser una lista aterradora. Una de las fallas, si se explota, podría permitir que un atacante vea y modifique el tráfico entre un cliente OpenSSL y un servidor OpenSSL en un ataque man-in-the-middle. El problema está presente en todas las versiones de cliente de OpenSSL y el servidor 1.0.1 o 1.0.2-beta1. Para que el ataque tenga éxito, y para empezar es bastante complicado, deben estar presentes versiones vulnerables tanto del cliente como del servidor.
Aunque el alcance del problema es muy limitado, quizás le preocupe seguir utilizando software con OpenSSL incluido. Primero, Heartbleed. Ahora, ataques de hombre en el medio. Centrarse en el hecho de que OpenSSL tiene errores (¿qué software no tiene?) Pasa por alto un punto muy crítico: se están reparando.
Más ojos, más seguridad
El hecho de que los desarrolladores estén revelando estos errores, y reparándolos, es tranquilizador, porque significa que tenemos más ojos en el código fuente de OpenSSL. Más personas están analizando cada línea en busca de posibles vulnerabilidades. Después de la divulgación del error Heartbleed a principios de este año, muchas personas se sorprendieron al descubrir que el proyecto no tenía muchos fondos o muchos desarrolladores dedicados a pesar de su uso generalizado.
"[OpenSSL] merece la atención de la comunidad de seguridad que está recibiendo ahora", dijo Wim Remes, consultor gerente de IOActive.
Un consorcio de gigantes tecnológicos, incluidos Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel y Cisco, se unieron con la Fundación Linux para formar la Iniciativa de Infraestructura Central (CII). CII financia proyectos de código abierto para agregar desarrolladores a tiempo completo, realizar auditorías de seguridad y mejorar la infraestructura de pruebas. OpenSSL fue el primer proyecto financiado bajo CII; Network Time Protocol y OpenSSH también son compatibles.
"La comunidad ha asumido el desafío de garantizar que OpenSSL se convierta en un mejor producto y que los problemas se encuentren y resuelvan rápidamente", dijo Steve Pate, arquitecto jefe de HyTrust.
¿Deberías preocuparte?
Si es administrador del sistema, debe actualizar OpenSSL. Se encontrarán y corregirán más errores, por lo que los administradores deben estar atentos a los parches para mantener el software actualizado.
Para la mayoría de los consumidores, no hay mucho de qué preocuparse. Para explotar el error, OpenSSL debe estar presente en ambos extremos de la comunicación, y eso generalmente no sucede en la navegación web, dijo Ivan Ristic, director de ingeniería de Qualys. Los navegadores de escritorio no dependen de OpenSSL y, aunque el navegador web de stock en dispositivos Android y Chrome para Android usan OpenSSL. "Las condiciones necesarias para la explotación son bastante más difíciles de encontrar", dijo Ristic. El hecho de que la explotación requiera un posicionamiento de hombre en el medio es "limitante", dijo.
OpenSSL a menudo se usa en utilidades de línea de comandos y para acceso programático, por lo que los usuarios deben actualizarse de inmediato. Y cualquier aplicación de software que utilicen que utilice OpenSSL debe actualizarse tan pronto como estén disponibles nuevas versiones.
Actualice el software y "prepárese para actualizaciones frecuentes en el futuro de OpenSSL, ya que estos no son los últimos errores que se encontrarán en este paquete de software", advirtió Wolfgang Kandek, CTO de Qualys.
