Hemos estado trabajando junto con un equipo de doctorado de la Universidad Politécnica de Valencia, dirigido por el Catedrático Manuel Esteve Domingo y la participación de Jesús Rodenas Huerta, y con el organismo estatal para la seguridad informática INCIBE, con el fin de mejorar la seguridad de Velneo.
Fruto de este trabajo son resultados ya publicados, como la versión de Velneo 29.2 publicada el 29 de junio de 2021, en la que mejoramos el protocolo VATPS con el fin de realizar por defecto la verificación de los certificados.
La labor de INCIBE incluye la divulgación de las incidencias detectadas y de ahí que en los próximos días aparecerá la comunicación correspondiente: CVE-2021-45035 auspiciada por el CVE. Esta comunicación sirve para advertir de la necesidad de actualizar Velneo, con el fin de evitar la incidencia de seguridad detectada.
Esto no quiere decir que las versiones anteriores estén en peligro, pues está disponible la información sobre la mitigación que permite corregir la situación en versiones anteriores. Además debemos tener en cuenta que las condiciones para poder explotar la incidencia no son simples, requieren la realización de una operación MITM (Man-in-the-middle), intervenir en la red en cuestión, etc. Pero al hacerse la incidencia pública, se hace necesario que actualices las instalaciones a la última versión si aún no lo has hecho tras nuestras recomendaciones.
F.A.Q.
¿Qué debo hacer si tengo instalada la última versión de Velneo, Velneo 31?
En Velneo Cloud, ya estás protegido, todos los servidores tienen VATPS y certificado de dominio. En local, si tienes correctamente los certificados de dominio, tampoco tienes que hacer nada más, ya estás protegido.
¿Debo actualizar a la última versión de Velneo?
Es nuestra recomendación, sobre todo si trabajamos con datos sensibles, como en los casos en los que hay cumplir la regulación de la LOPD. Pero en cualquier caso, hay que dar prioridad a la seguridad para evitar poner en riesgo la información de las aplicaciones.
Si no me puedo actualizar a la última versión ya, ¿puedo protegerme mejor hasta entonces?
Lo primero de todo es trabajar siempre con VATPS. En versiones anteriores a la 29.2 es posible configurar los clientes para que verifiquen por defecto los certificados, con lo que mejoras la seguridad hasta que actualices las instalaciones.
¿Es recomendable actualizar mis instalaciones con cada versión?
Por supuesto. Después de comprobar en desarrollo o pre-producción que tu aplicación funciona correctamente con la nueva versión, es más que recomendable actualizar a la última versión, ya que en todas ellas mejoramos la seguridad y también disfrutarás de las novedades y mejoras de rendimiento que aporta..
Quedarse en una versión no sólo significa no aprovechar las novedades, si no desaprovechar las mejoras de rendimiento, estabilidad y seguridad que, sin programar por tu parte, puedes disfrutar en cada versión.
