¿Cual es el problema?
El problema esta relacionado con los paquetes SSL de tipo heatbeat que al estar mal implementado en las últimas versiones de OpenSSL, permitían que modificando el tamaño del paquete se pudiese explotar un desbordamiento de memoria que permite a un atacante leer trozos de la memoria de tu servidor en los que nunca debería haber podido entrar.
¿Qué permite este error?
Permite que un atacante pueda obtener la clave privada de tu certificado SSL permitiendo que en caso de que capturase tráfico desde y hacia tu servidor, pueda desencriptar TODO el tráfico SSL; pasado, actual y futuro (a no ser que lo arregles).
Este error permite también que se pueda obtener otro tipo de información que este en la memoria del servidor (nombres de usuario, contraseñas, emails, etc)
Lo peor de este fallo, es que no queda ninguna traza del atacante, por lo que nunca podremos saber si alguien ha aprovechado este bug en nuestro servidor, por eso hay que crear claves privadas nuevas en nuestros certificados SSL.
¿Qué versiones de OpenSSL están afectadas?
Este fallo de programación fue introducido a partir de la rama 1.0.1, por lo que si usas otra versión más antigua estas a salvo de este error.
- 1.0.1
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
- 1.0.1f
¿Como podemos saber si estamos afectados?
Podemos usar esta herramienta online que nos dice si nuestro servidor es vulnerable o no:
http://filippo.io/Heartbleed/
¿Como se soluciona heartbleed?
La solución es bastante sencilla, solo tenemos que actualizar a la última versión o recompilar con la opción de desactivar los heartbeats.
Si estas usando uno de los sistemas operativos más usados como CentOS 6, te encontraras que ya tienen la versión parcheada en sus repositorios por lo que arreglar el problema es tan sencillo como entrar por ssh a tu servidor y hacer:
yum update openssl
Si utilizas un sistema operativo que tiene una versión vulnerable de OpenSSL que aún no tiene la versión parcheada en sus repositorios, lo más fácil para solucionar el problema es recompilar openssl con la opción -DOPENSSL_NO_HEARTBEATS
Después de esto, reinicia todos los servicios (o incluso reinicia el server, y así podrás usar las mejoras del kernel de linux) y comprueba que se ha solucionado la vulnerabilidad en http://filippo.io/Heartbleed/
El último paso sería crear claves privadas nuevas para los certificados SSL que usemos e instalarlas en nuestro servidor. (Si solo usas el certificado que crea cpanel o plesk para entrar a su panel, desde el mismo panel tienes la opción de que cree uno nuevo)
Extra: ¿De donde viene el nombre de HeartBleed?
Es un juego de palabras entre la fuente del problema, los heartbeats de SSL y la frase «Data leaks makes my Heart Bleed»
