Alerta de seguretat (vulnerabilitat heartbleed)

El passat dia 7 d’abril es va fer pública una vulnerabilitat que van anomenar heartbleed, i que afecta a la llibreria que gestiona les connexions segures (SSL/TLS) de la majoria de sistemes de codi obert i molts productes tancats.

Per tal de fer-ne difusió es va crear una pàgina en anglès a heartbleed.com on podem trobar molta informació sobre el bug. La vulnerabilitat també s’identifica amb el codi CVE-2014-0160

És una vulnerabilitat molt important, ja que permet a un atacant veure informació que no hauria de ser mai pública (ja que pertany a l’entorn de la connexió segura).

Des de GRN hem fet el que seria la bona pràctica en aquests casos:

  • Actualitzar tots els sistemes vulnerables.
  • Generar un certificat de seguretat nou per tal de que, en el cas en que s’hagués pogut vulnerar el certificat de seguretat, no ho pugui aprofitar un usuari maliciós per interceptar el trànsit.

Pot ser que en algun cas hagiu d’acceptar de nou el certificat de seguretat en el vostre client de correu, però en general no hauríeu de detectar cap canvi.

Explicació de l'error del heartbleed per xkcd
Explicació del funcionament del bug segons XKCD

La pàgina amb informació al diari ara: ara.cat
Una altra pàgina amb més informació: mossegalapoma.cat

En cas que tingueu alguna incidència o dubte, no dubteu a trucar-nos al 972230000 o a posar-vos en contacte amb nosaltres a través de l’adreça admin@grn.cat