Página 1 de 1
Heartbleed bug
Publicado: 09 Abr 2014, 18:25
por federico
Qué riesgo tenemos los usuarios? Es decir, si usamos Gmail por ejemplo también estábamos expuestos?
http://heartbleed.com/
Re: Heartbleed bug
Publicado: 09 Abr 2014, 22:02
por Alejandro
Google al parecer no tuvo problemas, aquí esta la lista:
https://github.com/musalbas/heartbleed- ... op1000.txt
El riesgo básicamente es que podían acceder a la información de los servidores que utilizaran este software OpenSSL vulnerable, no a toda sino a partes de la memoria. Y de ahí robar la información que encontraran como contraseñas, usuarios, etc... suplantar los sitios o espiar todo lo que pasara por el https.
Re: Heartbleed bug
Publicado: 10 Abr 2014, 00:45
por Fabian
Esta página
http://filippo.io/Heartbleed es para testear sitios en busca de esta vulnerabilidad.
Re: Heartbleed bug
Publicado: 10 Abr 2014, 04:51
por Alejandro
Un artículo muy claro de Chema Alonso, para entenderlo bien:
http://www.elladodelmal.com/2014/04/hea ... ad-en.html
El bug ha afectado a muchos de los servicios claves de Internet. Google conocía este bug desde diciembre de 2013 y aún está actualizando servidores para evitar el impacto.
Post de Google:
http://googleonlinesecurity.blogspot.co ... dress.html
Re: Heartbleed bug
Publicado: 10 Abr 2014, 05:23
por Alejandro
Similar a la herramienta que comparte Fabian, para verificar rápidamente si el server es vulnerable:
https://heartbleed.hostgator.com
Re: Heartbleed bug
Publicado: 10 Abr 2014, 09:48
por federico
Pero allí al poner una web termina diciendo que el sitio puede ser seguro pero tampoco te lo aseguran?
Re: Heartbleed bug
Publicado: 10 Abr 2014, 16:02
por Alejandro
Es que si lo hacen y después pasa algo se pueden meter en un buen lío.
A esta altura cualquier empresa de hosting ya debe tener actualizado el OpenSSL, aunque lo mejor es mandarle un e-mail al soporte y preguntarle directamente,.
Aquí dicen las versiones vulnerables:
http://support.hostgator.com/articles/p ... nerability
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Re: Heartbleed bug
Publicado: 11 Abr 2014, 10:37
por federico
Alejandro escribió:Es que si lo hacen y después pasa algo se pueden meter en un buen lío.
A esta altura cualquier empresa de hosting ya debe tener actualizado el OpenSSL, aunque lo mejor es mandarle un e-mail al soporte y preguntarle directamente,.
Aquí dicen las versiones vulnerables:
http://support.hostgator.com/articles/p ... nerability
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Entiendo, es razonable, parece la publicidad de los desinfectantes que eliminan el 99.99% de las bacterias !
