Hola compa�eros, Me sorprende un poco que en nuestra lista no haya le�do nada del problema HEARTBEAT bug en la implementaci�n de SSL por openssl.org.
La librer�a libssl.so es seguramente parte de cualquier sistema de Linux; el bug permite robar certificados u otros datos sensitivos. Se manifiesta desde la versi�n 1.0.1 (cuando la funci�n HEARTBEAT fue introducida en openssl en marzo 2012) hasta la versi�n 1.0.1f. Para m�s detalles leed http://www.openssl.org/news/secadv_20140407.txt En la lista de correo de openssl.org se public� una herramienta peque�a con la que se puede comprobar si un servidor est� comprometido por el hueco de seguridad o no (adjunto dicho mensaje). Se corre dicha herramienta as�: $ ./heartbleed localhost:631 VULNERABLE! o sea mi CUPS local muestra el hueco de seguridad, mientras el servidor de nuestra lista: $ ./heartbleed listas.jovenclub.cu:443 NOT VULNERABLE (TLS Heartbeat extension not supported by the server) corre tal vez una versi�n sin la funci�n HEARTBEAT, o sea o se trata de una versi�n antes de 1.0.1, o fue compilado sin activar la funci�n HEARTBEAT. Os aconsejo que tengan medidas, en serio. Saludos matthias ----- Forwarded message from Rob Stradling <rob.stradl...@comodo.com> ----- Date: Thu, 10 Apr 2014 12:16:53 +0100 From: Rob Stradling <rob.stradl...@comodo.com> To: openssl-us...@openssl.org Subject: Re: OpenSSL Security Advisory ... Simpler still... https://gist.github.com/robstradling/10363389 It's based on what Viktor posted, but it works without patching the OpenSSL library code. To compile: $ gcc -ansi -pedantic -o heartbleed heartbleed.c -lssl -lcrypto Examples: $ ./heartbleed www.ibm.com:443 NOT VULNERABLE (TLS Heartbeat extension not supported by the server) $ ./heartbleed secure.comodo.net:443 NOT VULNERABLE (TLS Heartbeat extension supported by the server) $ ./heartbleed mail.visservansolkema.nl:443 VULNERABLE! -- Rob Stradling Senior Research & Development Scientist COMODO - Creating Trust Online ______________________________________________________________________ OpenSSL Project http://www.openssl.org User Support Mailing List openssl-us...@openssl.org Automated List Manager majord...@openssl.org ----- End forwarded message ----- -- Matthias Apitz | /"\ ASCII Ribbon Campaign: E-mail: g...@unixarea.de | \ / - No HTML/RTF in E-mail WWW: http://www.unixarea.de/ | X - No proprietary attachments phone: +49-170-4527211 | / \ - Respect for open standards | en.wikipedia.org/wiki/ASCII_Ribbon_Campaign -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
