Actualización importante sobre la seguridad de OpenSSL: CVE-2014-0160 (Heartbleed)
Se encontró un fallo de revelación de información en la manera en que OpenSSL manejaba la seguridad de la capa de transporte (TLS del inglés transport layer security) y los paquetes de extensión heartbeat de seguridad de la capa de transporte de datagramas (DTLS del inglés datagram transport layer security). Esta falla se conoce comúnmente como el fallo heartbleed.
Un cliente o servidor malicioso TLS o DTLS podría enviar un paquete heartbeat TLS o DTLS especialmente diseñado para que revele una parte de la memoria en cada petición desde un servidor o cliente conectados. Observe que las partes reveladas de la memoria podrían incluir potencialmente información confidencial tal como llaves privadas, (CVE-2014-0160).
Este problema no afectó las versiones de openssl tal como se envía junto con Red Hat Enterprise Linux 5, Red Hat Enterprise Linux 6.4 y versiones anteriores. Este problema sí afecta a Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, el Hipervisor de virtualización 6.5 de Red Hat y el Almacenamiento 2.1 de Red Hat, los cuales proporcionaban openssl 1.0.1e.
- Para obtener mayor información sobre cómo abordar este fallo en Red Hat Enterprise Linux por favor consulte https://access.redhat.com/site/solutions/781793.
- Para obtener mayor información sobre cómo abordar este fallo en el Hipervisor de virtualización de Red Hat por favor consulte https://access.redhat.com/site/solutions/781843.
- Para obtener mayor información sobre cómo abordar este fallo en Red Hat Storage por favor consulte https://access.redhat.com/site/solutions/782053.
Una vez que haya actualizado sus sistemas puede utilizar el detector de heartbleed de Red Hat para validar el hecho de que se hayan asegurado sus sistemas. Red Hat recomienda enfáticamente que los clientes reemplacen las llaves SSL en los sistemas que estuvieron expuestos a la vulnerabilidad ya que reportes adicionales de la comunidad de investigación de la seguridad han establecido que se pueden llegar a robar llaves de sistemas vulnerables. Para mayor información consulte Recovering from the Heartbleed Vulnerability.
Cronología de respuestas
Por favor consulte la versión en inglés de este anuncio para ver la cronología de respuestas.
Declaración sobre la vulnerabilidad del sitio web de Red Hat
El 7 de abril de 2014 el proyecto OpenSSL lanzó una actualización para abordar la vulnerabilidad identificada por CVE-2014-0160 (también conocida como "heartbleed").
Red Hat toma la seguridad seriamente. Los siguientes sitios web de Red Hat que transmiten datos de clientes no dependían de una bibliteca OpenSSL vulnerable para comunicación SSL/TLS y no fueron afectados por la vulnerabilidad "heartbleed":
- www.redhat.com
- access.redhat.com (portal del cliente de Red Hat)
- rhn.redhat.com (Red Hat Network)