#1 desgraciadamente parece que Ha estado más tiempo sin detectar que tu "Ha"

#1 La NSA, por mucho que nos quieran hacer creer, no es dios

#2 Ups!! vaya HA los smartphone + comentar rápidamente en meneame. Perdón lo he visto y me duele los ojos!!

No es un bug, es una feature.

#1 Ha estado HA punto de acertar.

Coñas a parte, me da que hay más ingenieros intentando descubrir agujeros en openssl que desarrollándolo. Y es que, queramos o no, es más importante el espionaje que el desarrollo...

¿Nadie recuerda una vieja norma que no se ha roto en cientos o miles de años? Si se puede ver, se puede copiar.
Nada es perfecto, todo lo es susceptible de tener errores.

#8 Copiar no es lo mismo que leer, copiar un archivo cifrado sin capacidad de abrirlo es como copiar ruido blanco.

A ver si LibreSSL es la alternativa real

#10 Probablemente no lo sea. Los medios de la Core Infrastructure Initiative se están centrando en OpenSSL, así que posiblemente sea esta la que acabe sobreviviendo.

Si por desgracia os pasa como a mi que tengo que usar certificados de verisign o similares en los servidores, el bug de openssl o de cualquier otra libreria que lo sustituya le es indiferente a la NSA porque tiene las root keys.

Otra cosa seria ya a nivel de certificados autofirmados donde la nsa y cualquier otro que pudiera hacerte un mtm podria aprovechar la vulnerabilidad.

La cuestion es que se pueden desactivar los tipos de cifrafo como tls y sustituirlos por otros de complejidad similar a nivel de configuración de servidor. Si no me equivoco la instruccion es ciphersuite.

Hoy me va a tocar repasar configuraciones de apache aunque creo que esto ya lo tengo acotado por otro bug que hubo de tls.

#2 #7 Que no os despiste, ese HA tan evidente le ha delatado. Es un agente de la NSA que pretende redirigir los comentarios de meneame a una lucha ortográfica.

#1 Hamigo... No se te escapa ni huna jeje

#12 La root key de Verisign te permite generar certificados falsos para un dominio y hacer un ataque Man in the Middle (MiM), pero no permite descifrar las comunicaciones realizadas con el certificado verdadero.

La NSA no lo usa porque es fácilmente detectable... cualquier servicio de notaría SSL te avisará que el certificado ha cambiado inexplicablemente e incluso algunos navegadores ya tienen funcionalidad para verificarlo. El gobierno francés ya lo intentó y consiguió esto:

www.meneame.net/story/google-descubre-gobierno-frances-utilizaba-certi

La NSA prefiere formas más sutiles, como por ejemplo, este bug.

#10 Es una limpieza en serio del código, seguramente los errores de base que no encuentren durante el proceso serán compartidos, pero habrán muchos errores en partes de código inútiles que se quitarán de encima.

Al final toda esta estrategia de desprestigiar openSSL y GnuTLS y otras terminará convirtiéndolas en librerías mucho más seguras. Ahora mismo están siendo auditadas (sobre todo la primera) por los famosos miles de ojos, seguirán saliendo fallos en próximas fechas, pero el lado bueno es que todos se irán tapando y en el fondo esto será bueno para todos.

www.thewhir.com/web-hosting-news/japanese-researcher-discovers-16-year

Qué épico todo... No me cuadra mucho las versiones afectadas que dicen en ars technica.

Ahora de repente os interesa vuestra ciberseguridad así como quien no quiere la cosa eso sí, seguís usando software privativo. Propongo añadir un icono en menéame de Luser

#7 ¿Hay piedad en meneame? NO SENSEI! la piedad es para los débiles.
jajaja.

#19 aunque también podría haber puesto ¿AY piedad en meneame?

¿Agujeros de seguridad o puertas traseras hechas a la medida para la NSA?

En realidad en total son siete de las cuales esta es la más grave:

La primera que es esta, permite interceptar tráfico cifrado y descifrarlo porque fuerza al cliente a usar claves débiles.
LA segunda permite ejecución remota de código en clientes y servidores.
Las restantes permiten ataques de denegación de servicio.

unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.

Y hace poco salió en GnuTLS "una vulnerabilidad de desbordamiento de búfer en la librería GnuTLS que podría permitir a un atacante remoto tomar el control de los sistemas afectados. "

unaaldia.hispasec.com/2014/06/vulnerabilidad-de-ejecucion-de-codigo.ht

#18 tu te sientes muy seguro con su software libre ¿verdad?. Seguro que no envías correos, ni mandas información a través de Internet, ni usas servicios de otras empresas. A día de hoy no tiene sentido tener una puerta trasera en los SO, con pincharte Internet ya sabrá todo lo que tienen que saber. Contra eso solo puedes cifrar tus comunicaciones pero claro, el otro lado tiene que saber descifrarlas.

#23 la ignorancia es atrevida

(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...aquetes ...Preconfigurando paquetes ...Preconfigurando paquetes ...(Reading database ... 355448 files and directories currently installed.)Preparing to replace libssl1.0.0 1.0.1-4ubuntu5.13 (using .../libssl1.0.0_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement libssl1.0.0 ...Setting up libssl1.0.0 (1.0.1-4ubuntu5.14) ...Processing triggers for libc-bin ...ldconfig deferred processing now taking place(Reading database ... 355448 files and directories currently installed.)Preparing to replace openssl 1.0.1-4ubuntu5.13 (using .../openssl_1.0.1-4ubuntu5.14_i386.deb) ...Unpacking replacement openssl ...Processing triggers for man-db ...

Lo de heartbeat era muy grave, especialmente teniendo en cuenta que debería ser algo básico que debería estar más que controlado. Por otra parte, tampoco hay que pensar que el que se encuentren fallos sea sinónimo de que la seguridad es mala, o de que es un sistema peor que otro en el que no hay encontrado nada.

Quizás estoy siendo muy filosófico, pero esto de forma aislada no debería ser preocupante, sí son muy preocupantes cosas como que una herramienta pública de uso tan extendido no sea auditada o alguien introduzca estos fallos (saboteando) en el código.

Al paso que vamos, OpenSSL va a ser el equivalente a estos video porteros-cerraduras-electrónicas: www.meneame.net/story/hacking-porteros-video-porteros-automaticos