Declaración sobre la vulnerabilidad “heartbleed”
Estimados clientes,
Con respecto a las noticias que recientemente han circulado en Internet acerca de la vulnerabilidad denominada “heartbleed“, y causa por un error de programación en la biblioteca OpenSSL, desde doblenet queremos transmitirles los siguientes hechos que probablemente sean de su interés:
- En nuestros sistemas cara al público nunca ha estado activa la extensión “HeartBeat” del protocolo TLS, en la cuál se basa la vulnerabilidad citada.
- Todos nuestros sistemas que usan HTTPS fueron actualizados a una versión más reciente durante la siguiente hora a la publicación de la vulnerabilidad. Acto seguido se reiniciaron todos los servicios que utilizan la biblioteca reseñada para forzar el uso de la nueva versión: servidores web, de correo (SMTP e IMAP), webmail, VPN gestionada, plataforma e-commerce y nuestros webservices de funcionalidades avanzadas.
- Más aún, se ha llevado a cabo una segunda actualización 24h después, empleando una versión más moderna —suministrada por Debian— de la biblioteca que, entre otras cosas, fuerza el reinicio de todos los servicios que puedan utilizar la biblioteca actualizada para garantizar que esta vulnerabilidad haya sido neutralizada.
Adicionalmente, hemos procedido a someter a todos nuestros sistemas cara al público a una comprobación que verifica la seguridad de los servicios.El resultado obtenido ha sido satisfactorio.
Particularmente, se comprueba que nuestra configuración no habilitaba la extensión TLS vulnerable, de forma que en principio se puede suponer que no ha habido fuga de información crítica (claves privadas de servidores, principalmente)
Gracias por su confianza y fidelidad.
Atentamente,
El equipo de doblenet