Seguridad

Heartbleed Bug y Couchbase Server

La seguridad debe estar en el corazón de cualquier producto empresarial y nosotros nos tomamos muy en serio la seguridad de nuestros productos. Recientemente, un vulnerabilidad grave (también conocido como Heartbleed) fue descubierto en la librería OpenSSL y dado que Couchbase Server tiene algunos componentes criptográficos, queríamos que conocieras el riesgo que supone la vulnerabilidad y por qué Couchbase NO está afectado.

¿A qué se debe este fallo?

En insecto heartbleed está dentro de la extensión heartbeat de OpenSSL (RFC6520).

Evaluación de la vulnerabilidad de Couchbase Server

El gestor de clústeres de Couchbase está escrito en Erlang. En el gestor de clústeres, OpenSSL no se utiliza para la lógica de enlace TLS/SSL. En su lugar, la lógica TLS/SSL se implementa en Erlang (Fuente).

Debido a que Couchbase Server no utiliza la funcionalidad de OpenSSL que es vulnerable, es NO afectadas por este fallo. Ninguna versión de Couchbase (hasta la más reciente inclusive) está afectada.

Asegurar la pila

Aunque Couchbase está protegido contra el fallo heartbleed, es posible que también desee pensar en otros servicios que se ejecutan como parte de su pila de aplicaciones -

Normalmente, las implementaciones de OpenSSL están presentes en servidores proxy de terceros como Apache, nginx y HAProxy. Si tu Couchbase Server está detrás de un servidor de este tipo que usa OpenSSL 1.0.1 - 1.0.1f, deberías parchear tus servidores proxy y reiniciar estos servicios. También podrías considerar refrescar los certificados SSL de tus servidores frontend.

Si está ejecutando Couchbase en Amazon EC2, es posible que desee comprobar el último boletín de seguridad de Amazon aquí.

¿Necesita más información sobre el heartbleed?

  1. Aviso de seguridad original de OpenSSL- https://www.openssl.org/news/secadv_20140407.txt

  2. Algunas preguntas formuladas por los usuarios de la comunidad Erlang -
    http://erlang.org/pipermail/erlang-questions/2014-April/078538.html
    http://erlang.org/pipermail/erlang-questions/2014-April/078537.html

Gracias por su continuo apoyo y ¡manténgase a salvo!

Comparte este artículo
Recibe actualizaciones del blog de Couchbase en tu bandeja de entrada
Este campo es obligatorio.

Autor

Publicado por Don Pinto, Director Principal de Producto, Couchbase

Don Pinto es Gerente Principal de Producto en Couchbase y actualmente está enfocado en avanzar las capacidades de Couchbase Server. Es un apasionado de la tecnología de datos, y en el pasado ha escrito varios artículos sobre Couchbase Server, incluyendo blogs técnicos y libros blancos. Antes de unirse a Couchbase, Don pasó varios años en IBM, donde desempeñó el papel de desarrollador de software en el grupo de gestión de la información DB2 y, más recientemente, como director de programa en el equipo de SQL Server en Microsoft. Don tiene un máster en informática y una licenciatura en ingeniería informática por la Universidad de Toronto, Canadá.

Todos los mensajes

2 Comentarios

  1. Don Pinto abril 11, 2014 a 4:36 am

    En el sistema operativo Microsoft Windows, ciertas herramientas que buscan las librerías vulnerables pueden identificar las versiones de Couchbase Server como vulnerables al problema heartbleed. Debido a que Couchbase Server no utiliza la funcionalidad de OpenSSL que es vulnerable, NO se ve afectado por este error.

Deja un comentario

¿Listo para empezar con Couchbase Capella?

Empezar a construir

Consulte nuestro portal para desarrolladores para explorar NoSQL, buscar recursos y empezar con tutoriales.

Develop now
Utilizar Capella gratis

Ponte manos a la obra con Couchbase en unos pocos clics. Capella DBaaS es la forma más fácil y rápida de empezar.

Use free
Póngase en contacto

¿Quieres saber más sobre las ofertas de Couchbase? Permítanos ayudarle.

Contact us