Weekly blob #4

SpookySSL

OpenSSL es una libreria ampliamente utilizada para el cifrado de conexiones de red. Se utiliza en piezas de software tan comunes como los servidores web que se utilizan para el desarrollo de aplicaciones, los servidores de e-mail o las conexiones VPN (si, hablamos de ti Openvpn 👀). Ya se generó un gran revuelo tras el bug Heartbleed en su momento que llego a afectar incluso a los teléfonos móviles.

Esta vulnerabilidad afecta a tooodos los productos, desarrollos, aplicaciones y servicios que utilicen las versiones de OpenSSL 3.0.0 a la 3.0.6. Cabe destacar que las versiones 1.02.2 o 1.1.1 no estan afectadas lo que acota la vulnerabilidad bastante.

Los puntos clave para mitigar esta vulnerabilidad:

👉 Realizar una revisión de los sistemas que hacen uso de OpenSSL (Correo,VPN, plataformas etc.)
👉 Actualizar a la última versión no vulnerable publicada (a fecha de hoy 3.0.7)
👉Seguir la info oficial: 
NCSC-NL
OpenSSL FAQ
CERT bund advisory
SANS Internet Storm Center