27 jun 2023

CVE-2014-0160 - Heartbleed

A última hora del lunes 7 de abril de 2014, se reveló un error en la implementación de OpenSSL de la extensión TLS heartbeat. La designación oficial del error es CVE-2014-0160, también se ha denominado Heartbleed en referencia a la extensión de latidos cardíacos a la que afecta. La vulnerabilidad Heartbleed es algo que los usuarios de OpenSSL deben tomar muy en serio, ya que permite a un adversario obtener datos de partes de la memoria del servidor web.

Si bien el error Heartbleed no es un defecto con certificados, contraseñas o incluso el protocolo TLS en sí, la explotación del error puede llevar a llaves privadas comprometidas y otros datos confidenciales. El error Heartbleed está presente en las versiones 1.0.1 a 1.0.1f de OpenSSL, así como en la beta 1.0.2. Por extensión, el software de servidor como Apache, Tomcat, Nginx, que utiliza versiones vulnerables de OpenSSL también están en riesgo.

¿Cómo sé si soy vulnerable?

Si está ejecutando una versión anterior de OpenSSL u otro software que no utiliza OpenSSL, el servidor no se ve afectado por el error Heartbleed.

Puede utilizar nuestro Comprobador de Configuración SSL para probar la vulnerabilidad de Heartbleed en su servidor.

Nota: Aunque es posible que su servidor no sea vulnerable, existe una alta probabilidad de que se conecte a sitios que se vieron directamente afectados. Debido a esto, se recomienda encarecidamente que cambie sus contraseñas para cualquier sitio y servicio que utilice, una vez que estén parcheados para Heartbleed.

Mi servidor es vulnerable, ¿qué hago a continuación?

1. Descargar parches/actualizar OpenSSL

Si está ejecutando una versión independiente de OpenSSL, actualice a la última versión 1.0.1g que se ha parcheado para la vulnerabilidad Heartbleed.

Querrá instalar parches y actualizaciones específicos del producto para esta vulnerabilidad. Esto puede incluir actualizaciones de su distribución GNU/Linux o actualizaciones para dispositivos de hardware.

Una vez que haya actualizado sus bibliotecas OpenSSL y aplicado cualquier parche a su plataforma / dispositivo, puede pasar a volver a emitir su certificado.

Si está utilizando un servicio de alojamiento, consulte con su proveedor para asegurarse de que hayan parcheado sus propios sistemas antes de continuar.

2. Genere nuevas llaves, vuelva a emitir e instale su certificado:

El siguiente paso es volver a emitir su certificado con una nueva llave privada, ya que la original puede haber sido comprometida.

1. Generar una nueva llave privada*
2. Generar una nueva CSR*
3. Vuelva a emitir su certificado utilizando la nueva CSR.
4. Instale el nuevo certificado.
5. Compruebe que el nuevo certificado funciona correctamente.

Las instrucciones detalladas para volver a emitir su certificado se pueden encontrar en nuestro artículo relacionado:

https://support.globalsign.com/es/certificados-ssltls/como-re-emitir-cancelar-y-revocar/como-reemitir-un-certificado-ssl

Asegúrese de elegir el certificado intermedio correcto para el tipo de producto y el algoritmo hash.

3. Revocar el certificado original:

La reemisión generará un ID de pedido uniqe; una vez que el certificado se haya vuelto a emitir, instalar y probar correctamente, puede revocar el pedido de certificado original. Tenga en cuenta que solo desea revocar después de haber vuelto a emitir correctamente el certificado, ya que no puede volver a emitir un certificado revocado.

Las instrucciones detalladas para revocar su certificado se pueden encontrar en nuestro artículo relacionado:

https://support.globalsign.com/es/certificados-ssltls/como-re-emitir-cancelar-y-revocar/revocacion-de-un-certificado

Avisos y Parches de Seguridad:

Distribuciones GNU/Linux:

• Red Hat
• CentOS
• Fedora
• Ubuntu
• Debian
• Arch

Software Serverside:

• Apache CloudStack
• Apache CouchDB
• F5
• mongoDB
• NGINX
• Parallels Products
• XAMPP

Hardware:

• Cisco Products