Acerca de OpenSSL y la vulnerabilidad «Heartbleed
– Para los que no estéis familiarizados con OpenSSL, se trata de un conjunto de herramientas de código abierto que implementa los protocolos Secure Sockets Layer (SSL v2/v3) y Transport Layer Security (TLS v1), así como una biblioteca de criptografía de uso general muy completa. edgeNEXUS utiliza OpenSSL como parte de nuestro producto ALB para ofrecer la terminación de clientes SSL, así como la presentación segura de nuestra interfaz gráfica de usuario.
– La vulnerabilidad existe desde el 31 de diciembre de 2011, y el código vulnerable se ha adoptado al uso generalizado con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. Al leer la memoria del servidor web, los atacantes podían acceder a datos sensibles, comprometiendo la seguridad del servidor y de sus usuarios. Podrían verse comprometidos datos potencialmente seguros, incluida la clave maestra privada del servidor.
– El ALB edgeNEXUS adoptó más recientemente esta versión de OpenSSL en la versión 3.25.2 (build 1431), por lo que la vulnerabilidad “heartbleed” está presente en esta y en cualquier versión posterior del ALB.
Detalles del paquete edgeNEXUS para resolver la vulnerabilidad «Heartbleed
edgeNEXUS acaba de lanzar el Service Pack 5 para hardware ALB y dispositivos virtuales -versión 3.54.1 (build 1540)-, que resuelve la vulnerabilidad heartbleed de OpenSSL sustituyendo cualquier biblioteca criptográfica OpenSSL anterior por la versión 1.0.1g. El SP5 también contiene una serie de correcciones de errores y mejoras de rendimiento respecto a versiones anteriores.
Ten en cuenta que puede que necesites actualizar utilizando otras versiones intermedias si no te has mantenido al día con las versiones del ALB edgeNEXUS a lo largo del tiempo. El SP5 puede utilizarse para actualizar directamente cualquier versión posterior a (e incluida) la versión 3.21.2 (compilación 1420), pero debes ponerte en contacto con el servicio de asistencia enviando un correo electrónico a “support@edgenexus.io” para obtener instrucciones adicionales si tu ALB funciona con una compilación anterior a la versión 3.21.2 (compilación 1420).
Envía un correo electrónico a support@edgenexus.io para obtener los detalles de descarga del paquete de actualización SP5 de 32 bits versión 3.54.1 (build 1540).
