¿Qué va a pasar?

En solo tres pasos tu aplicación empresarial comenzará a ser una realidad

Registro
Escuchamos tus necesidades

Nueva publicación de incidencia de seguridad en CVE (CVE-2021-45036)

En esta ocasión, queremos resaltar una mejora de seguridad en el inicio de la conexión impide la explotación de una incidencia que, aunque es difícil de explotar, permitía realizar una conexión sin conocer la contraseña.

Como ya hemos comentado, hemos estado trabajando junto con un equipo de doctorado de la Universidad Politécnica de Valencia, dirigido por el Catedrático Manuel Esteve Domingo y la participación de Jesús Rodenas Huerta, y con el organismo estatal para la seguridad informática INCIBE, con el fin de mejorar la seguridad de Velneo.

En esta ocasión, queremos resaltar de entre las novedades de la versión 32, una mejora de seguridad en el inicio de la conexión que impide la explotación de una incidencia, que aunque difícilmente utilizable, permitía realizar una conexión sin conocer la contraseña.

La labor de INCIBE incluye la divulgación de las incidencias detectadas y de ahí que en los próximos días aparecerá la comunicación correspondiente: CVE-2021-45036 auspiciada por el CVE. Esta comunicación sirve para advertir de la necesidad de actualizar Velneo, con el fin de evitar la incidencia de seguridad detectada.

Si no accedes mediante VATP a tus aplicaciones, trabajas siempre con VATPS y usas siempre la verificación de certificados con certificados de dominio, esto no quiere decir que las versiones anteriores estén en peligro, ya que las condiciones para poder explotar la incidencia no son simples, requieren de ingeniería social, la realización de una operación MITM (Man-in-the-middle), intervenir en la red en cuestión, etc. Pero al hacerse la incidencia pública, se hace necesario que actualices las instalaciones a la última versión si aún no lo has hecho tras nuestras recomendaciones.

F.A.Q.

¿Qué debo hacer si tengo instalada la última versión de Velneo, Velneo 32?

Nada, ya estás protegido.

¿Debo actualizar a la última versión de Velneo?

Es nuestra recomendación, sobre todo si trabajamos con datos sensibles, como en los casos en los que hay cumplir la regulación de la LOPD. Pero en cualquier caso, hay que dar prioridad a la seguridad para evitar poner en riesgo la información de las aplicaciones.
Además, a partir de la versión 32, únicamente podremos trabajar con VATPS, con el fin de garantizar la seguridad de las comunicaciones.

Si no me puedo actualizar a la última versión ya, ¿puedo protegerme mejor hasta entonces?

No accedas mediante VATP a tus aplicaciones, trabaja siempre con VATPS. Usa siempre la verificación de certificados con certificados de dominio.

¿Es recomendable actualizar mis instalaciones con cada versión?

Por supuesto. Después de comprobar en desarrollo o pre-producción que tu aplicación funciona correctamente con la nueva versión, es más que recomendable actualizar a la última versión, ya que en todas ellas mejoramos la seguridad y también disfrutarás de las novedades y mejoras de rendimiento que aporta..
Quedarse en una versión no sólo significa no aprovechar las novedades, si no desaprovechar las mejoras de rendimiento, estabilidad y seguridad que, sin programar por tu parte, puedes disfrutar en cada versión.

Referencias

Comunicación INCIBE

Fernando Félix
23/11/2022