No actualice OpenSSL sin sentido, verificar primero si el sitio es vulnerable o no. Cuidado con los apt-get upgrade en sistemas antiguos. Versiones concretas de que afecta el bug: OpenSSL 1.0.1g NO vulnerable OpenSSL 1.0.1 through 1.0.1f es vulnerable OpenSSL 1.0.0 branch NO vulnerable OpenSSL 0.9.8 branch NO vulnerable Puedes pasar de ser no vulnerable a ser vulnerable si en los repositorios no han actualizado el paquete de openssl.
El 9 de abril de 2014, 9:24, Yannick Warnier <[email protected]>escribió: > De lo que tengo entendido, si generaste un certificado SSL (*) que haya > sido hackeado antes (**), habrá que volver a generar uno nuevo para > garantizar la seguridad de la comunicación. > > No es que siga siendo vulnerable a un *nuevo* atacante (una vez > actualizado el servidor), pero crackers podrían haberte robado tu llave > privada (**) antes de que actualices tu servidor, y en este caso pueden > sin problema espiar y decifrar tus comunicaciones actuales, hasta que > cambies de certificado. > > Para una mayor seguridad en adelante, mejor vale volver a generar el > certificado si lo usas. Obviamente, se trata de una operación algo > pesada para no-expertos, porque no es frecuente cambiar un certificado. > > Si no usas comunicaciones cifradas, no te quejes: estás jodido desde el > inicio, y te pueden robar información ahora como lo pudieron hacer > siempre. > Si usas SSL, solo hay unas probabilidades que te hayan robado > información crítica, lo cual es grave, pero por lo meno reduciste las > probabilidades. > > Según la explicación detallada aquí: http://heartbleed.com/, la solución > implementada en la actualización 1.0.1g de OpenSSL elimina la falla pero > no corrige todavía la parte vulnerable (entiendo que temporalmente > bajan un poco el nivel de seguridad, a un nivel razonable, mientras van > encontrando la solución perfecta). > > Saludos, > > Yannick > > * para tener un sitio web en https, por ejemplo > ** entre el 14 de Marzo del 2012 y ahora, y no se puede saber si ha sido > hackeado en el pasado o no, por lo que se tiene que suponer que lo fue > > > > > On mer, 2014-04-09 at 06:55 -0500, Clever Flores wrote: > > Con un update de paquetes en Ubuntu y CentOS se soluciona, me imagino > > como será en todos esos Linux > > que ya no tienen soporte de actualizaciones, el fallo es muy crítico y > > es necesaria > > la actualización > > > > > > El 9 de abril de 2014, 6:29, Clever Flores <[email protected]> > > escribió: > > El fallo ya ha sido reportado como el más grave de la historia > > de la internet y de Linux > > > http://www.theverge.com/2014/4/8/5594266/how-heartbleed-broke-the-internet > > > > > > > > Averiguen si sus sitios https son seguros > > http://filippo.io/Heartbleed/ > > > > > > > > > > El 8 de abril de 2014, 17:09, Clever Flores > > <[email protected]> escribió: > > > > Las versiones de Zimbra 8.0.3 a 8.07 también son > > vulnerables y requieres de un patch > > > http://files.zimbra.com/downloads/security/zmopenssl-updater.sh > > > > > > > > > > El 8 de abril de 2014, 15:40, Raul Hugo > > <[email protected]> escribió: > > > > Gracias Antonio, > > > > > > Por cierto Amazon Linux Ami también ya sacó > > una actualización, solo basta hacer un yum > > update openssl . > > > > > > > > > > El 8 de abril de 2014, 15:07, Antonio Ognio > > <[email protected]> escribió: > > Saludos, > > > > > > Me acabo de enterar de esta > > vulnerabilidad: > > > > > > http://heartbleed.com/ > > > > > > > > Varios colegas estan verificando si un > > servidor es vulnerable o no con esta > > herramienta: > > > > > > https://github.com/titanous/heartbleeder > > > > > > Si su sistema operativa usa OpenSSL > > 1.0.1 sus servidores son vulnerables. > > > > CentOS ya sacó su parche acá: > > > > > > > http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html > > > > > > > > Si tienen servidores con Ubuntu LTS > > 12.04 les conviene darle una mirada a > > esta discusión: > > > > > > > > > http://serverfault.com/questions/587574/apache-2-is-still-vulnerable-to-heartbleed-after-update-reboot > > > > > > > > Antonio > > > > > > > > > > > _______________________________________________ > > Lista de correo Linux-plug > > Temática: Discusión general sobre > > Linux > > Peruvian Linux User Group > > (http://www.linux.org.pe) > > > > Participa suscribiéndote y escribiendo > > a: [email protected] > > Para darte de alta, de baja o hacer > > ajustes a tu suscripción visita: > > > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > > > IMPORTANTE: Reglas y recomendaciones > > > http://www.linux.org.pe/listas/reglas.php > > > http://www.linux.org.pe/listas/comportamiento.php > > > http://www.linux.org.pe/listas/recomendaciones.php > > > > Alojamiento de listas cortesia de > > http://cipher.pe > > > > > > > > > > -- > > Un abrazo! > > > > Raúl Hugo > > Miembro Asociado > > > > http://apesol.org.pe > > SysAdmin > > Cel. #961-710-096 > > Linux Registered User #482081 - > > http://counter.li.org/ > > > > P Antes de imprimir este e-mail piense bien si > > es necesario hacerlo > > > > _______________________________________________ > > Lista de correo Linux-plug > > Temática: Discusión general sobre Linux > > Peruvian Linux User Group > > (http://www.linux.org.pe) > > > > Participa suscribiéndote y escribiendo a: > > [email protected] > > Para darte de alta, de baja o hacer ajustes a > > tu suscripción visita: > > > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > > > IMPORTANTE: Reglas y recomendaciones > > http://www.linux.org.pe/listas/reglas.php > > > http://www.linux.org.pe/listas/comportamiento.php > > > http://www.linux.org.pe/listas/recomendaciones.php > > > > Alojamiento de listas cortesia de > > http://cipher.pe > > > > > > > > > > -- > > Clever Flores > > Perú Linux SAC > > Tel: 640-5800 Anexo 104 > > Blog: http://www.perulinux.pe/blog/clever > > > > > > > > > > -- > > Clever Flores > > Perú Linux SAC > > Tel: 640-5800 Anexo 104 > > Blog: http://www.perulinux.pe/blog/clever > > > > > > > > > > -- > > Clever Flores > > Perú Linux SAC > > Tel: 640-5800 Anexo 104 > > Blog: http://www.perulinux.pe/blog/clever > > _______________________________________________ > > Lista de correo Linux-plug > > Temática: Discusión general sobre Linux > > Peruvian Linux User Group (http://www.linux.org.pe) > > > > Participa suscribiéndote y escribiendo a: [email protected] > > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > > > IMPORTANTE: Reglas y recomendaciones > > http://www.linux.org.pe/listas/reglas.php > > http://www.linux.org.pe/listas/comportamiento.php > > http://www.linux.org.pe/listas/recomendaciones.php > > > > Alojamiento de listas cortesia de http://cipher.pe > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe > -- [ GNU ] Libertad reto esencial del Hombre. ###################################### » http://ayacsoft.net » cavaaden(en)gmail.com #####################################
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
