|
BOLETIN DE SEGURIDAD
LEER CUIDADOSAMENTE, CONTIENE INFORMACIÓN
IMPORTANTE
Estimado Cliente:
VeriSign y CertiSur le informan respecto de la reciente detección
de una vulnerabilidad en el sistema operativo Debian. Este
problema no afecta a la amplia gama de certificados SSL o
de modo cliente de VeriSign, debido al hecho de que las claves
raíz de las Autoridades Certificantes o Autoridades
Intermedias VeriSign son generadas y almacenadas, sin excepción,
en módulos criptográficos de alta seguridad.
Por lo tanto, los certificados raíz de VeriSign están
absolutamente seguros con respecto a esta vulnerabilidad recientemente
detectada y el sistema operativo Debian no es una plataforma
de desarrollo soportada por VeriSign.
No obstante, es posible que algunos usuarios finales hayan
podido utilizar alguna de las versiones del sistema operativo
Linux que están comprometidas, para generar los pares
de claves de los certificados. Esto implica que las funciones
de autenticación, encriptación y firma de transacciones
que estos clientes ejecutan puedan ser eventualmente vulnerables
a hackers.
Recomendamos enfáticamente revocar
y reemplazar aquéllos certificados
que pueda presumirse que se han generado en máquinas
en donde corran las versiones afectadas del sistema operativo
Debian.
Análisis de la situación y recomendaciones
El 13 de mayo de 2008, el proyecto Debian anunció
que una actualización del paquete Open SSL de Debian
contenía una vulnerabilidad que generaba un debilitamiento
del sistema de generación aleatoria de números,
conviertiendo en predictibles a las encriptaciones y/o autenticaciones
SSH y SSL.
Esta debilidad afecta a todas las aplicaciones
de software que utilizan pares de claves generadas en versiones
del sistema operativo Debian y sus derivados (tal como Ubuntu),
liberadas entre el 17 de septiembre de 2006 y el 12 de mayo
de 2008.
Un parche de actualización para cubrir esta vulnerabilidad
ya ha sido liberado por Debian. Dado que esta actualización
solamente soluciona el problema de ahora en más, para
aquellos sistemas que comienzan con la versión 0.9.ec-1
es altamente recomendable regenerar desde el comienzo cualquier
clave criptográfica generada con OpenSSL.
Información adicional está disponible en el
siguiente sitio.
Para información respecto del parche de actualización,
revisar el boletín de seguridad de Debian DSA-1571-1.
Las instrucciones para la revocación y reemplazo del
certificado se encuentran en el siguiente link.
Para aquéllos certificados en modo cliente emitido
por los servicios de Managed PKI, el Administrador deberá
revocar todos los certificados de los usuarios que hayan sido
generados con esta vulnerabilidad y solicitarle a dichos usuarios
que soliciten un nuevo certificado.
Si usted tiene alguna consulta específica respecto
de los servicios de VeriSign/CertiSur, con referencia a este
tema, por favor contáctese con soporte@certisur.com.
Cordialmente
Gerencia de Tecnología
CertiSur S.A.
|
