La vulnerabilidad en OpenSSL podría comprometer datos sensitivos.
Las versiones 1.0.1 a 1.0.1f de OpenSSL tienen un fallo en la funcionalidad Heartbeat de TLS/DTLS que puede permitir a un atacante robar la información cifrada con SSL/TLS. Bautizada como “Heartbleed“, el fallo permite leer la memoria de los sistemas protegidos por las versiones vulnerables de OpenSSL.
OpenSSL es la biblioteca de cifrado usada principalmente en servidores web con Linux para encriptar la comunicación entre el servidor web y los usuarios. La funcionalidad Heartbeat permite mantener el uso de la sesión segura sin que haya una renegociación entre el cliente y el servidor.
Existe código de explotación que está siendo utilizado para aprovecharse de la vulnerabilidad y recuperar las llaves privadas utilizadas para cifrar la comunicación, los nombres de las cuentas y las contraseñas de los usuarios, y la información transmitida. Un atacante que aproveche la vulnerabilidad puede recuperar la llave privada utilizada para cifrar la comunicación y conocer toda la información transmitida.
Para remendar esta vulnerabilidad se ha publicado OpenSSL 1.0.1g. Considerar comprometida a la llave generada con una versión vulnerable de OpenSSL, por lo que es recomendable que una vez parchado OpenSSL la llave sea re-generada y distribuida.