Es casi seguro que esto afecta a tu organización
Se ha descubierto una vulnerabilidad crítica en las versiones actuales de OpenSSL y deberá ser parcheada inmediatamente. El proyecto OpenSSL lanzará la versión 3.0.7 el martes 1 de noviembre de 2022. Se trata de una actualización crítica que debe realizarse inmediatamente.
Para explicarlo un poco, OpenSSL es una biblioteca de software que se utiliza ampliamente para permitir conexiones de red seguras. Y cuando digo que se utiliza ampliamente, me refiero a que es casi omnipresente: si utilizas HTTPS, lo más probable es que estés utilizando OpenSSL. Casi todo el mundo lo hace.
Por lo tanto, esto es algo que casi todo el mundo debe conocer.
OpenSSL está desarrollado por el proyecto OpenSSL, que avisó el miércoles 26 de octubre de que iba a lanzar un parche para una vulnerabilidad crítica el martes siguiente, 1 de noviembre.
Así es como el Proyecto OpenSSL define una vulnerabilidad crítica:
"Severidad CRÍTICA. Afecta a configuraciones comunes y que además son susceptibles de ser explotadas. Algunos ejemplos son la divulgación significativa del contenido de la memoria del servidor (que puede revelar detalles del usuario), vulnerabilidades que pueden ser fácilmente explotadas de forma remota para comprometer las claves privadas del servidor o cuando la ejecución remota de código se considera probable en situaciones comunes. Estos problemas se mantendrán en privado y darán lugar a una nueva publicación de todas las versiones compatibles. Intentaremos solucionarlos lo antes posible".
Como es habitual en este tipo de situaciones de seguridad, no se ha especificado cuál es la amenaza exacta o dónde puede estar el punto débil, ya que se trata de evitar avisar a los malos actores oportunistas que podrían explotar la vulnerabilidad antes de que sea parcheada.
Y el objetivo de esta notificación no es provocar el pánico, no tiene sentido entrar en pánico - esto sólo requiere vigilancia.
Asegúrate de que las personas adecuadas de tu organización son conscientes de esta vulnerabilidad, de su gravedad potencial y de la nueva versión de OpenSSL (3.0.7) que llegará el 1 de noviembre.
Si tú eres esa persona, debes comprobar que efectivamente estás utilizando OpenSSL (lo estás haciendo) y qué versión estás utilizando. Aquí está el matiz, esto afecta a la versión tres, así que si estás usando la 3.0.6 o anterior vas a tener que parchear esto inmediatamente.
Si estás usando la versión 1.1.1, esta vulnerabilidad no te afecta, pero también hay una actualización de la versión 1.1.1 que llegará el martes, la versión 1.1.1s, a la que vas a tener que actualizar de todas formas, así que también podrías programar algo de tiempo el martes para hacer esto.
Para obtener una guía completa sobre cómo actualizar OpenSSL, consulte OpenSSL.org/source.
GlobalSign se enorgullece de ser su socio digital de confianza, estamos supervisando de cerca esta situación y seguiremos proporcionando actualizaciones en el blog y a través de la comunicación directa con el cliente (correo electrónico) si se requiere cualquier otra acción.
