Huecos de seguridad en algoritmos SSL (Heartbleed)

Abstract

La versión SSL de código abierto (OpenSSL) utiliza una librería de software para cifrar las comunicaciones entre el navegador y el servidor que aloja el servicio que se está prestando. Afecta las versiones 1.0.1 y 1.0.1f, donde el atacante mediante un desarrollo obtiene información confidencial de sus usuarios. Esta vulnerabilidad se explota mediante el envío de una solicitud de un heartbeat mal formado con el fin de obtener la respuesta de la víctima, permitiendo a los atacantes leer datos sensibles, lo cual pone en peligro la confidencialidad de la víctima. Esto afecta a los sitios que utilizan esas versiones de SSL y cuyo objetivo final es el consumidor de ese servicio. Aunque la vulnerabilidad puede ser corregida desde el proveedor quien presta el servicio, el usuario debe ser consciente del impacto de esta clase de huecos de seguridad y seguir algunas recomendaciones descritas en este artículo.

The open source SSL version (OpenSSL) uses a software library to encrypt communications between the browser and the server that hosts the service that is focusing. It affects versions from 1.0.1 to 1.0.1f, where the attacker through a development obtained confidential information of its users. This vulnerability is exploited by sending a malformed heartbeat request in order to obtain the response of the victim, allowing attackers to view sensitive data, which puts at risk the confidentiality of the victim. This affects the sites that use those SSL versions and whose final aim is the consumer of that service. Although vulnerability can be corrected from the vendor who provides the service, the end user must be aware of the impact of this kind of security holes and follow some recommendations described in this article.