La falla de seguridad heartbleed (corazón sangrante) de OpenSSL dada a
conocer publicamente el 7 de Abril de esta año, afecta practicamente a
todos los servidores web con SSL de sistemas operativos de fuentes abiertas
(Linux, OpenBSD, FreeBSD, NetBSD y también adJ). Esta falla le permite a un
atacante leer datos almacenados en la memoria del servidor (que podrían
incluir llaves privadas SSL, claves y tráfico cifrado pero en plano).
Puede examinar si su servidor web con SSL es vulnerable a esta falla
(recomendamos chequear solo cuando tenga el tiempo y las herramientas
disponibles para cerrarla) con:
https://www.ssllabs.com/ssltest/
Para cerrar esta falla es necesario que actualice su versión de OpenSSL.
Además en caso de que esta falla hubiese sido explotada con anterioridad en
su servidor, es recomendable cambiar claves y llaves privadas --y bueno
verificar la integridad del sistema operativo.
Para facilitar la labor hemos publicado una nueva versión 5.4p1 de adJ
que entre sus novedades incluye:
* Aplicado parche de OpenBSD del 7/Abr/2014 para la librería openssl de
OpenBSD que cierra vulnerabilidad CVE-2014-0160 también conocida como
falla "heartbleed" y que permitiría a un atacante leer memoria del
servidor, que a su vez podría permitir al atacante conocer llaves
privadas SSL, claves y tráfico cifrado.
* Aplicado parche de OpenBSD del 14/Feb/2014 para el paquete gnutls que
cierra vulnerabilidades CVE-2014-0092 y CVE-2014-1959 (esto podia afectar
verificacion de certificados SSL en su sistema de escritorio, en
particular al usar Firefox).
Ver novedades completas en
http://aprendiendo.pasosdejesus.org/?id=AdJ+5.4p1+-+Aprendiendo+de+Jesus+5.4p1
Quienes empleen por primera vez adJ pueden ver:
1. La guía de instalación:
http://structio.sourceforge.net/guias/usuario_OpenBSD/sobre-la-instalacion.html
2. El curso/reto para instalar que da una medalla a quienes completen:
https://p2pu.org/es/groups/openbsd-adj-como-sistema-de-escritorio/
El condensado sha256 del DVD instalador es (gracias Noltyn):
aa547046be5a22551b118c66c1ff1c3f3ba146db60aca682d1efec5cecb33c1d
A usuarios de adJ que tengan versiones anteriores a la 5.4 se les recomienda
actualizar a la 5.4p1 con las instrucciones abreviadas de:
https://github.com/pasosdeJesus/adJ/blob/ADJ_5_4/Actualiza.txt
A quienes ya hubieran actualizado a 5.4 una forma rápida para cerrar las
dos fallas descritas es:
1. De los juegos de instalación del sistema base descargue sólo base54.tgz:
mkdir -p ~/tmp; cd ~/tmp
ftp ftp://ftp.pasosdejesus.org/pub/AprendiendoDeJesus/5.4p1-amd64/base54.tgz
2. De este descomprima sólo libssl.so.19.0 y remplace la existente:
cd ~/tmp
tar xvfz base54.tgz ./usr/lib/libssl.so.19.0
cp libssl.so.19.0 /usr/lib/
3. Reinicie el servidor web. Si es apache:
sudo sh /etc/rc.d/httpd restart
Si es nginx:
sudo sh /etc/rc.d/nginx restart
4. Actualice el paquete gnutls con:
export PKG_PATH=ftp://ftp.pasosdeJesus.org/pub/AprendiendoDeJesus/5.4p1-amd64/paquetes/
sudo pkg_add -u -r -D installed gnutls
Para regenerar llaves SSL privada y pública de certificado web autofirmado:
openssl genrsa -out /etc/ssl/private/server.key 2048
openssl req -new -key /etc/ssl/private/server.key \
-out /etc/ssl/private/server.csr
openssl x509 -req -days 3650 -in /etc/ssl/private/server.csr \
-signkey /etc/ssl/private/server.key -out /etc/ssl/server.crt
Bendiciones y ánimo cerrando estas fallas y agradeciendo a Jesus en semana
santa.
--
Dios, gracias por tu amor infinito.
--
Vladimir Támara Patiño. http://vtamara.pasosdeJesus.org/
http://www.pasosdejesus.org/dominio_publico_colombia.html
_______________________________________________
Lista de correo de Colibri
Colibri@listas.el-directorio.org
http://listas.el-directorio.org/cgi-bin/mailman/listinfo/colibri
http://slcolombia.org/Colibri/UsoLista
http://slcolombia.org/Colibri/ContratoSocial
El Directorio, el sitio del Software Libre en Colombia:
http://www.el-directorio.org