« Chequeo pre-instalación de productos mediante el RDABurleson sólo le interesa vender y vender... »

BUG HeartBleed , extremadamente peligroso



El pasado 18 de Abril una persona llamada Neel Mehta de Google Security encontro un BUG que ha alertado a todo el mundo, es un BUG asociado a una librería de uso muy común llamada OpenSSL , la extensión se llama "Heartbeat" pero se le conoce como "Heartbleed", esta alerta de seguridad es la CVE-2014-0160.



En palabras sencillas , este BUG permite poder obtener datos entre el cliente y servidor, datos que están cifrados..pero los cuales se pueden LEER SIN PROBLEMAS, como claves, números de tarjeta, correos electrónicos, mensajes instantaneos, etc.... Así de fuerte, esta vulnerabilidad deja abierto el mundo que encripta el OpenSSL para que cualquier, notese bien , CUALQUIERA pueda obtener información que supuestamente es segura.

Pues bien, las alarmas están encendidas en todo el mundo y todos están sacando parches e indicandoles a sus clientes que deben cambiar las password de sus sistemas, esto no es ajeno a Oracle que ya lanzó algunas notas al respecto indicando que productos se ven afectados, cuales no , cuales están en estudio .

El BUG sólo afecta a ciertas versiones de la librería OpenSSL, pero esto no es menor y deberíamos comenzar a realizar un análisis de nuestra plataforma.


La información detallada del BUG la puedes encontrar acá
http://blog.segu-info.com.ar/2014/04/seria-vulnerabilidad-en-libreria.html#axzz2ziarZiC9


Oracle emitió un comunicado al respecto
http://www.oracle.com/technetwork/topics/security/alert-cve-2014-0160-2190703.html

Y si quieres saber que productos tuyos están o no afectados, pues Oracle emitió una nota al respecto
http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html

Lo que se debe consultar en el anterior links, es el punto 2 que habla de los productos bajo estudio y que pueden estar siendo afectados y el punto 3 , que derechamente habla de los productos Oracle con problemas y los parches que ya están disponibles para bajar.

Por ejemplo y para que tomes consciencia del problema , el ONS sufre con este BUG ...este servicio se carga y existe en las instalaciones de Oracle RAC :)

Actualización al 29 de Mayo :
Ya no existen productos bajo observación, así como tampoco el ONS está afectado por el BUG , buenas noticias ;)




by Ligarius
23.04.14. 07:53:48. 373 words, 3141 views. Categories: Base de datos ,