La versión 0.9.1 de Bitcoin CORE corrige la vulnerabilidad Heartbleed

Versión 0.9.1 de Bitcoin CORE

Ya está disponible y ha solucionado la vulnerabilidad Heartbleed de OpenSSL, también conocida como CVE-2014-0160. La vulnerabilidad fue corregida por las principales plataformas de intercambio de Bitcoin en cuestión de horas.

Por si no lo sabías, Heartbleed es un problema muy importante en la comunidad de seguridad. El fallo de Cripto en OpenSSL (una implementación de código abierto de los protocolos de seguridad de internet SSL y TLS que cifran y protegen el tráfico de internet) ha abierto dos tercios de la web a las escuchas clandestinas. Fue descubierto. a principios de esta semanaY muchos observadores lo describieron como nada menos que catastrófico.

Los jugadores de Bitcoin QUICK a abordar Heartbleed

Afortunadamente, la noticia se tradujo rápidamente en acciones en toda la industria: se están implementando parches en todo el mundo mientras hablamos.

Intercambios de Bitcoin

Y las billeteras son blanco de piratas informáticos a diario, por lo que los equipos serios de Bitcoin KEEP un seguimiento de los exploits de día cero, los nuevos vectores de ataque y una serie de otras vulnerabilidades.

El CORE de Bitcoin El equipo afirma que la versión 0.9.1 es una versión de mantenimiento para corregir una vulnerabilidad urgente (es decir, Heartbleed), y que todos los usuarios deberían actualizarla lo antes posible. La mayoría ha atendido la solicitud y, como resultado, la gran mayoría de los principales sitios y plataformas de intercambio de Bitcoin han implementado la corrección.

¿De qué trata Heartbleed?

OpenSSL es la biblioteca de código más popular para el cifrado HTTPS. Microsoft IIS no la utiliza, por lo que los sistemas Windows no se ven afectados directamente.

Si bien esto es una buena noticia para la mayoría de los usuarios de computadoras de escritorio, los departamentos de TI preferirían que fuera al revés. OpenSSL se utiliza en Linux, BSD y numerosas plataformas de servidores personalizadas. Mac OS X también se ve afectado. El error no afecta a todas las versiones de OpenSSL. Algunos bancos importantes, como Chase y Schwab, utilizan Microsoft IIS. Otros utilizan Linux/Apache, Java y otros sistemas.

Ars Technica

Informa que el error se debe a un error de codificación trivial en OpenSSL. El error permite a los atacantes acceder a fragmentos de memoria privada del ordenador que gestionan el proceso de OpenSSL.

El contenido de dichos fragmentos de memoria puede incluir credenciales de autenticación o incluso claves privadas que pueden socavar todo el certificado criptográfico del sitio web.

Por lo tanto, los operadores de sitios web deben instalar la versión 1.0.1g de OpenSSL en sus servidores y actualizar sus certificados de seguridad. El problema es que la actualización de OpenSSL es solo el primer paso. Los usuarios deben considerar reemplazar sus certificados X.509 una vez que apliquen la actualización de OpenSSL.

Se recomienda a todos los administradores y usuarios que cambien sus contraseñas como medida de precaución, ya que la actividad no puede rastrearse y esta escala de vulnerabilidad no tiene precedentes en OpenSSL.