Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL. (ACTUALIZADO)

Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL. (ACTUALIZADO)

Fecha: 08/04/2014

Descripción: 

OpenSSL ha anunciado una grave vulnerabilidad cuya explotación permite revelar contenidos de memoria de aplicaciones que hagan uso de OpenSSL.

Detalle: 

Las versiones de OpenSSL 1.0.1 hasta 1.0.1f tienen un defecto en su implementación de la funcionalidad heartbeat TLS/DTLS (RFC6520).

Esta vulnerabilidad permite a un atacante recuperar contenidos privados de memoria de aplicaciones que hagan uso de la librería OpenSSL afectada.

Los servicios afectados pueden filtar información que incluye certificados digitales, credenciales(usuario/contraseñas) y otros contenidos protegidos. Además, el acceso a contenidos y posiciones de memoria protegidos puede utilizarse para evitar protecciones contra exploits.

El uso de la información extraída por la explotación de esta vulnerabilidad, como por ejemplo, el certificado del servidor, permitiría a un atacante descifrar tráfico o realizar ataques man in the middle en comunicaciones cifradas con OpenSSL.

Se ha reservado el CVE-2014-0160 para la descripción de esta vulnerabilidad.