El bug Heartbleed sigue afectando a más de 300.000 servidores

Hace ya dos meses que Google daba la voz de alarma ante el bug Heartbleed, una vulnerabilidad crítica de OpenSSL que pone en jaque la seguridad de gran parte de la Red. Sin embargo, pese a la reconocida urgencia del problema parece que a estas alturas el error de seguridad todavía está lejos de ser erradicado.

El investigador de seguridad Robert David Graham ha advertido este fin de semana desde su blog que más de 300.000 servidores siguen siendo vulnerables a Heartbleed. El analista ha realizado el estudio escaneando un único puerto de los servidores, por lo que la cifra todavía podría ser mayor.

Graham realizó el primer escaneo inmediatamente después del descubrimiento de Heartbleed, descubriendo 615.268 máquinas vulnerables en ese instante. Un mes después, el investigador repitió el experimento contabilizando 318.239 servidores expuestos a Hearbleed. La cifra del mes pasado tan solo se ha reducido actualmente hasta los 309.197 casos vulnerables, sugiriendo una relajación en el esfuerzo generalizado por tapiar el agujero.

Por si la amenaza de Heartbleed no fuese suficiente, The Guardian se hacía eco a principios de este mes de otra "vulnerabilidad de inyección CCS" en OpenSSL que podría ser "más peligrosa que Hearbleed". Esta serie de problemas en la librería de seguridad se podría haber cobrado su primera "víctima" tangible con el retraso del teléfono OnePlus One, según revelan algunas fuentes.

Ante esta abrumadora situación, Google ha decidido hacer borrón y cuenta nueva con el lanzamiento de "BoringSSL", un nuevo fork de OpenSSL que integra los más de 70 parches publicados hasta la fecha para el software original. Los de Mountain View han aclarado que no desean reemplazar a OpenSSL o LibreSSL, sino construir un proyecto con la seguridad como objetivo principal. La compañía planea ofrecer BoringSSL "próximamente" en el repositorio de Chromium y con el tiempo implementarlo en Android.
Y los de batlefield4 a miles de jugadores [bye]
Esto tendría que ser la prioridad número 1 a parchear de todo sitio web afectado.
zeraw está baneado por "clon de usuario baneado y multinicks para trolear"
belmonte escribió:Esto tendría que ser la prioridad número 1 a parchear de todo sitio web afectado.


+10000
Efectivamente, yo no se como no se les cae la cara de vergüenza...
Para cobrar estan muy rápidos.
obviamente. todas las vulnerabilidades en SOs y paquetes de software afectan a millones máquinas y el problema principal es la no actualización de los mismos durante largos períodos de tiempo. Heartbleed no es una excepción.

BoringSSL no tiene ningún sentido, OpenSSL tiene ya corregidos todos estos bugs. lo que debería hacer Google es apoyar firmemente el proyecto Core Infrastructure Initiative (oficialmente ya lo hace).
Aunque tapen el bug seguramante habra otros bugs por descubrir. Yo creo que si Google no llega a decir nada, nadie se entera del fallo (refiriendome a que si un haker no lo sabia ahora lo sabe y lo intentara ya que no es facil de tapar y si encima dicen esta noticia mas motivo aun para seguir intentandolo)
Sólo voy a hacerte una corrección que chirría muchísimo: CSS no, CCS.

Que un cambio de siglas lleva a confusión y a meclar churras con merinas. Además el bug, en realidad los bugs, llevan un par de semanas arreglados, si bien estos llevaban desde principios de siglo ahí. Esa es la alarma.

Por lo demás, la información de The Guardian es, inicialmente, muy inexacta.
Increible que el 50% siga con el mismo problema sin solucionar. Luego nos meten el cuento de que la seguridad de los usuarios es prioritario para las empresas que operan en la red y bla bla bla
A los servidores les suda el nabo mientras cobren.
Ricardo Cambre escribió:Los de Mountain View han aclarado que no desean reemplazar a OpenSSL o LibreSSL, sino construir un proyecto con la seguridad como objetivo principal. La compañía planea ofrecer BoringSSL "próximamente" en el repositorio de Chromium y con el tiempo implementarlo en Android.

¿Y cuantos se quedarán con la vulnerabilidad?. Quitando los Moto E/G/X y Nexus aun con soporte, el resto se va a quedar expuesto a la vulnerabilidad. Los de gama media / baja se quedan forever and ever con la versión que lleve de casa. Quizás los de gama alta se salven y aun con muchísima suerte, algunos de gama media.

Solo les queda de tirar de ROM cocinada y si está disponible para el Smarphone en cuestión, algo no disponible para una mayoría ignorante (sin acritud) que no sabe lo que tiene en sus manos, excepto para Whatsapp, Facebook y poco mas.
Es lo que tiene no mantener los websites...
coyote escribió:
Ricardo Cambre escribió:Los de Mountain View han aclarado que no desean reemplazar a OpenSSL o LibreSSL, sino construir un proyecto con la seguridad como objetivo principal. La compañía planea ofrecer BoringSSL "próximamente" en el repositorio de Chromium y con el tiempo implementarlo en Android.

¿Y cuantos se quedarán con la vulnerabilidad?. Quitando los Moto E/G/X y Nexus aun con soporte, el resto se va a quedar expuesto a la vulnerabilidad. Los de gama media / baja se quedan forever and ever con la versión que lleve de casa. Quizás los de gama alta se salven y aun con muchísima suerte, algunos de gama media.

Solo les queda de tirar de ROM cocinada y si está disponible para el Smarphone en cuestión, algo no disponible para una mayoría ignorante (sin acritud) que no sabe lo que tiene en sus manos, excepto para Whatsapp, Facebook y poco mas.


la vulnerabilidad afecta principalmente a los servidores, no a los clientes, y las máquinas Android son clientes. hay muchas más vulnerabilidades y este movimiento parece estar encaminado al futuro, no a Heartbleed en particular.
11 respuestas