Seguridad
18 dic 2024
TLDR: Hemos solucionado un problema relacionado con el formato de la firma del documento. Ningún dato o firma fue comprometido de ninguna manera. Hemos corregido todos los documentos afectados. Puede recibir documentos completados nuevamente. Todas las descargas en el futuro se mostrarán como se esperaba.
¿Qué sucedió?
Descubrimos y corregimos un problema relacionado con el formato del documento y las firmas. Los documentos creados entre el 15 y el 18 de diciembre pueden haber sido afectados por un problema de formato, lo que llevó a que la firma no se mostrara correctamente en Adobe PDF y otros visores. Este problema fue causado al abordar una vulnerabilidad de seguridad potencial no relacionada.
El problema 1512 era un vector de ataque potencial del que recientemente nos hicieron conscientes. La vulnerabilidad podría permitir alteraciones en el contenido de un documento firmado sin invalidar la firma, utilizando múltiples capas de contenido. Aunque hasta ahora ha sido puramente teórico, decidimos abordar esto para asegurar la máxima protección para nuestros usuarios.
Para eliminar múltiples capas de contenido del PDF y eliminar la posibilidad de contenido falso, movimos parte del procesamiento del documento al navegador para aplanar el PDF antes de enviarlo al servidor para su generación. Aunque aparentemente no estaba relacionado con las firmas, una diferencia en el comportamiento de PDF-lib.js en el navegador frente al servidor causó un cambio en el formato interno del documento. Aunque esto no era visible en la mayoría de los casos, un efecto secundario conocido fue que las firmas no se mostraban correctamente en Adobe PDF, aunque fueron insertadas correctamente en el PDF.
No hubo errores durante la firma en nuestras pruebas y la inserción "exitosa" de las firmas hizo que este problema pasara desapercibido durante las pruebas y el despliegue.
Nuestra solución
Abordamos esto tan pronto como nos hicimos conscientes al implementar una corrección rápida para corregir el comportamiento inesperado. La lógica de aplanamiento se ha trasladado nuevamente al lado del servidor. Además, ejecutamos un script de corrección para regenerar todos los documentos afectados.
Es importante señalar que ningún dato fue corrompido y no hay dudas sobre el proceso de firma. Esto nos permitió simplemente regenerar los documentos afectados, ya que todos los datos base relevantes eran correctos y no se vieron afectados. Todas las descargas de documentos en el futuro se mostrarán correctamente en cualquier visor de PDF.
Puede recibir nuevamente documentos completados para asegurarse de que tiene una versión corregida de los documentos que firmó. Dependiendo de su proceso, es posible que quiera volver a descargar documentos afectados. Si necesita ayuda para descargar varios documentos, puede contactar a support@documenso.com. No se necesita ninguna acción adicional de su parte.
Conclusiones clave para los clientes
Todos los documentos afectados han sido corregidos y no se requiere ninguna acción adicional.
El problema no afectó el contenido ni la integridad de ningún documento.
Las firmas criptográficas siguen siendo válidas y seguras.
Todos los documentos afectados han sido reparados y ahora son completamente funcionales.
Como se mencionó anteriormente, ningún documento o dato fue comprometido durante este incidente. Los registros de auditoría, el estado del documento, la validez de la firma y todos los demás datos permanecen sin cambios.
Prevención de problemas futuros
Para evitar desafíos similares en el futuro, hemos mejorado nuestras tuberías de prueba y procesamiento para garantizar un manejo robusto de PDFs en capas. Actualmente estamos investigando más pruebas automatizadas para verificar no solo la integridad de las firmas, sino también el formato correcto según lo esperado por los visores.
Esto es complicado ya que no podemos ejecutar el visor más común, Adobe PDF, del lado del servidor. Sin embargo, encontraremos una manera de sortear esto en el futuro.
Si tiene alguna inquietud o pregunta, no dude en contactar a nuestro equipo de soporte en support@documenso.com.
Mejor de Hamburgo,
Timur