OpenSSL es un popular paquete de librerías de seguridad, especialmente en los servidores que suelen servir las páginas que visitas. Sobre todo si usan servidores tan populares como Apache y nginx o incluso sistemas de mensajería. Se ha descubierto un bug en las versiones 1.0.1 hasta la 1.0.1f, que permitiría acceder a información del servidor.
Para quien no conozca que hace OpenSSL, es una herramienta que permite el cifrado y desencriptación de datos entre servidor y cliente, tu navegador o aplicación.
El bug encontrado lo han bautizado como Heartbleed (CVE-2014-0160) y en teoría permitiría a un atacante recuperar 64 kilobytes de memoria del servidor mientras este use una versión vulnerable.
Estos 64 kilobytes pueden ser cualquier parte de información en el servidor, que podría contener algo importante, aunque por regla general no contendrá nada destacable. Aunque es evidente que el problema está presente, esos 64 kilobytes podrían representar muchísimos tipos de datos, desde información personal datos de la sesión SSL, certificados…
¿Cómo te afecta como usuario? Si eres usuario de Linux, deberías estar actualizando estas librerías inmediatamente, Ubuntu y Debian han lanzado actualizaciones que cubren esta vulnerabilidad. Si eres usuario de OS X puedes estar tranquilo porque llega con una versión sin esta vulnerabilidad. Los usuarios de Windows no usan librerías OpenSSL por lo que no tiene nada que temer.
Por ahora se han encontrado varias páginas con este problema que aun no han actualizado, como por ejemplo Yahoo o imgur. Es cuestión de los administradores de estos sitios actualizar estas librerías.
Link: Heartbleed (Vía ArsTechnica)
