HeartBleed es el nombre que se le ha dado a un error/vulnerabilidad descubierto recientemente en la implementación del protocolo HTTPS/TLS de OpenSSL. Permite a los atacantes remotos obtener información potencialmente confidencial (hasta 64 KB cada vez) utilizando paquetes especialmente diseñados que provocan una «sobrelectura del búfer». Puede exponer contraseñas, nombres de usuario, claves privadas y otra información confidencial.
HotDocs no se ve afectado directamente, ya que
1) Ningún software de HotDocs depende directamente de las bibliotecas o el código de OpenSSL.
2) HotDocs Server siempre se implementa en servidores basados en Windows, donde OpenSSL no está presente de forma predeterminada.
3) HotDocs Server se suele implementar en combinación con el servidor web IIS, que (por defecto) no depende de OpenSSL.
4) HotDocs Server suele implementarse detrás de cortafuegos, donde los ataques HeartBleed no suelen ser tan frecuentes.
5) HotDocs Cloud Services es un servicio público, pero tampoco depende de OpenSSL y, por lo tanto, no es vulnerable al fallo HeartBleed.
La única vulnerabilidad potencial que conocemos sería SI alguien implementara HotDocs Server en un servidor Windows público (es decir, un servidor que no estuviera protegido contra ataques públicos detrás de un cortafuegos) que ejecutara un servidor web además de IIS (como Apache), configurado para utilizar HTTPS a través de OpenSSL basado en Windows. En este caso, es el software del servidor web de esa máquina el que (siempre que no se aplique un parche) podría ser vulnerable al error HeartBleed; en este caso, sería posible que los datos relacionados con HotDocs (recopilaciones de respuestas, etc.) se encontraran entre los datos expuestos a un posible atacante.
En resumen, no creemos que la vulnerabilidad HeartBleed afecte directamente a HotDocs, y es poco probable que afecte al uso de HotDocs por parte de nuestros clientes, salvo en la situación relativamente poco común descrita anteriormente.
Nota de la Redacción: Este artículo se publicó originalmente en HotDocs.com. En junio de 2024, Mitratech adquirió la plataforma avanzada de automatización de documentos, HotDocs. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios en la regulación y cumplimiento.
