Des que va ser publicada la vulnerabilitat que afecta al mòdul Heartbeat de la llibreria OpenSSL (versions 1.0.1 a 1.0.1.f ) s’ha estat verificant el possible impacte que aquest problema hagi pogut ocasionar en els serveis i sistemes del CSUC, aplicant les mesures de protecció adients.

El bug Heartbleed és una important vulnerabilitat en la popular llibreria criptogràfica OpenSSL. Aquest error o bug permet el robatori d’informació protegida, en condicions normals, pel xifrat SSL / TLS, on la funció és la de proveir seguretat i privacitat en les comunicacions a través d’aplicacions, com ara navegadors web, clients de correu electrònic, clients de missatgeria instantània, xarxes privades virtuals (VPN), SSH…

Aquest bug permet a qualsevol atacant, a través de la xarxa, la lectura de la memòria dels sistemes protegits per les versions vulnerables d’OpenSSL. Aquest fet compromet les claus privades emprades per identificar el proveïdor del servei i el xifrat del tràfic, els noms, les contrasenyes dels usuaris, etc. Així, els atacants poden interceptar les comunicacions i robar informació directament dels serveis i dels propis usuaris.

Per la seva part, l’Equip de Resposta a Incidents (CSUC-CSIRT) de l’Àrea de Serveis TIC del CSUC ha avisat els clients dels quals gestiona les seves plataformes TIC i, en cas d’estar afectats per aquest problema de seguretat, se’ls ha ofert col·laboració per a la seva resolució. En la major part dels casos, les mesures ja han estat aplicades amb èxit.

Per a més informació podeu consultar la National Vulnerability Database (NVD).