El día 07/04/2014 fue divulgada públicamente, una falla o bug, en la biblioteca abierta de criptografía OpenSSL, ampliamente utilizada por muchos sistemas y servidores para implementar la capa de seguridad del protocolo TLS. Esta falla de seguridad, que se identificó como Heartbleed, está en el código-fuente de la biblioteca Open SSL, y una versión corregida de la biblioteca fue lanzada en el mismo día de la divulgación de la falla.
El bug permite la exposición de la memoria del servidor que estuviere trabajando con la aplicación, pudiendo ser leídos hasta 64 KB de memoria en cada ataque. Esta memoria contiene datos sin criptografía y estos datos pueden ser básicamente cualquier cosa, inclusive contraseñas, usuarios o claves de seguridad.
Considerando la gravedad del problema y el perfil de InvoiCy como sistema de misión crítica, Migrate quiere aclarar que la solución InvoiCy NO usa esta biblioteca, y que, por lo tanto, no tiene esta vulnerabilidad de seguridad.
Para obtener mayor información sobre esta falla y sobre como corregirla, consulte los links:
http://heartbleed.com/ y http://www.openssl.org/news/secadv_20140407.txt.
El bug permite la exposición de la memoria del servidor que estuviere trabajando con la aplicación, pudiendo ser leídos hasta 64 KB de memoria en cada ataque. Esta memoria contiene datos sin criptografía y estos datos pueden ser básicamente cualquier cosa, inclusive contraseñas, usuarios o claves de seguridad.
Considerando la gravedad del problema y el perfil de InvoiCy como sistema de misión crítica, Migrate quiere aclarar que la solución InvoiCy NO usa esta biblioteca, y que, por lo tanto, no tiene esta vulnerabilidad de seguridad.
Para obtener mayor información sobre esta falla y sobre como corregirla, consulte los links:
http://heartbleed.com/ y http://www.openssl.org/news/secadv_20140407.txt.
No hay comentarios.:
Publicar un comentario