Heartbleed: la debacle de OpenSSL

En la que ya es la noticia del año en cuanto a seguridad informática nos hemos enterado de que OpenSSL, la librería criptográfica de código abierto, sufre un bug en varias de sus versiones que basicamente permite obtener datos de la memoria del sistema que esté utilizándola. Las implicaciones en cuanto a seguridad son enormes, pero como usuarios basicamente lo único que podemos hacer es cambiar todas las claves de todas las aplicaciones y servicios de los que hagamos uso.

Las versiones afectadas son las siguientes:

•  1.0.2 beta
• 1.0.1 a 1.0.1f

No están afectadas las ramas 1.0.0 o inferior ni a partir de la 1.0.1.g.

Si tenemos algún servicio abierto hacia la red que use OpenSSL debemos revisar la versión de OpenSSL que tenemos. En Linux es sencillo: con el comando openssl version obtendremos la salida con la versión de openssl instalada en nuestro sistema:

[fedora@localhost ~]$ openssl version
OpenSSL 1.0.0d-fips 8 Feb 2011

En este caso se trata de la rama 1.0.0, por lo que la versión no está afectada con el bug. Si lo estuviese podríamos actualizarla con un yum update openssl o equivalente.