Ikasten.IO
Learning, Aprendiendo

Parchear Ubuntu para evitar el bug OpenSSL Heartbleed 8 Abril, 2014

Ayer a la tarde se levantó una buena polvareda con el bug Heartbleed de OpenSSL. Básicamente, cualquier usuario podría acceder a una zona de 64Kb de memoria del servidor, cercana a la zona donde se gestionan las operaciones con SSLv3. Esto podría llegar a permitir acceder a información privilegiada, como por ejemplo la clave privada usada para el cifrado. Aunque hay dudas técnicas sobre este aspecto específico (acceso a las claves privadas), los investigadores que descubrieron el bug así lo afirman (como indica el primer link). Conclusión: estás tardando en actualizar OpenSSL en tu servidor 🙂

Repite el último paso hasta que no queden servicios usando la versión vieja de openssl.

Gracias a coderanger por los tip.

Update (11/04/2014): como dije, hay serias dudas de que el acceso a las claves privadas sea viable. De hecho, uno de las primeras webs donde se expuso el bug lanza ahora un reto: han puesto un servidor HTTPS vulnerable en marcha y retan a la comunidad a extraer la clave privada usando el bug Heartbleed.

Update (13/04/2014): pues han tardado unas pocas horas en extraer la clave privada. Vaya, vaya…

  • xezpeleta dice:

    La clave privada no se, pero el “submarino amarillo” si que lo saca en un servidor vulnerable…

    http://filippo.io/Heartbleed

  • […] Parchear Ubuntu para evitar el bug OpenSSL Heartbleed […]

  • Cygna dice:

    Parece que no existe fix alguno para Ubuntu 13.04, hasta en los foros de Ubuntu te dicen que “ya no hay soporte, ni siquiera deberias estar usando eso, tema cerrado”. Sin embargo si existe soporte para Ubuntu 12.10, que no era LTS. Y vale, si, entiendo parcialmente su postura, pero aun asi no son formas. No estamos hablando de alguien pidiendo una nueva version de SDL porque la actual le pinte las cosas en tonos verdes.

    En mi caso yo uso Linux Mint 15, y no metí la 16 por un motivo bastante concreto: estoy esperando a la proxima LTS. En este caso eso implica tirarme dos meses y medio mas con un OpenSSL roto con todas las soluciones siendo un “aaah, se siente”.

    Compilar desde el src parece peligroso, porque implica sustituir paquetes que requieren demasiados programas.

    Usar un .deb hecho para 12.04, 12.10 o 13.10? no se si intentarlo, pa otros bugcillos o libs que ya no se actualizaban en otras releases me ha servido, pero claro… no eran componentes tan criticos como openSSL.

    En fin, no se, alguna solución que no sea instalar una nueva distro? porque si, es algo que quiero hacer, pero me parece tonteria y una gran molestia instalar mint 16/ubuntu 13.10 para dentro de 4 dias meter mint 17/14.04.

  • Fran dice:

    gracias por el post!!! muy útil.

  • […] Llevaba dándole vueltas a la idea de crear un nivel donde hiciera falta explotar la vulnerabilidad HeartBleed, y este año, a diferencia de otros, conseguí pasar de la idea a la realidad 🙂 Como de […]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *