5 mar. 2014

Bug crítico en GnuTLS deja susceptibles a escuchas a sistemas Linux y cientos de apps

Cientos de paquetes de código abierto, incluidas las distribuciones de Linux Red Hat, Ubuntu y Debian, están expuestos a escuchas, debido a la vulnerabilidad en extremo crítica de biblioteca criptográfica.

El error de código en cuestión, ha sido detectado en la biblioteca GnuTLS (CVE-2014-0092), y permite a atacantes eludir las protecciones SSL y TLS instaladas en sitios web que utilizan esta biblioteca de código abierto. Según estimaciones iniciales referidas por la publicación Ars Technica, más de 200 distintos sistemas operativos o aplicaciones confían en GnuTLS para la implementación de operaciones SSL y TLS en sus sistemas.

El origen del "bug" habría sido detectado en una sección del código GnuTLS que verifica la autenticidad de los certificados TLS, que suelen ser conocidos simplemente como Certificados X509. El error de código, cuya data podría ser incluso 2005, interrumpe y cancela procedimientos críticos de verificación. Éste error en sí haría posible la instalación de procedimientos de escucha del sistema por parte de intrusos.

Según el boletín, la vulnerabilidad afecta a las funciones de verificación del certificado de todas las versiones de GnuTLS y un certificado especialmente diseñado podría eludir comprobaciones de validación de dicho certificado.

Como el problema afecta a todas las versiones de la biblioteca, el único recurso es actualizar a versiones 3.2.12 o 3.1.22 de la biblioteca, o aplicar un parche para la rama de 2.x GnuTLS.

En un boletín de seguridad difundido por Red Hat se indica que GnuTLS no reacciona correctamente ante ciertos errores que podrían ocurrir durante el proceso de validación de un certificado X. 509. "Así, un atacante podría utilizar este error para crear un certificado específicamente diseñado, que podría ser aceptado por GnuTLS como válido, por un sitio elegido por el atacante".

La vulnerabilidad continúa siendo investigada por expertos en seguridad informática, quienes intentan establecer el efecto que el error de programación ha tenido en distintas aplicaciones y sistemas operativos que dependen de GnuTLS. Este error es similar al "goto fail" hallado hallado y parcheado la semana pasada por Apple en su iOS.

La gravedad de la situación fue ilustrada con el siguiente comentario de Matt Green, catedrático especialista en criptografía de la Universidad Johns Hopkins, citado por Ars Technica: "Se ve bastante terrible".

Actualización: Debian también ha publicado un parche y recomiendan actualizar a GnuTLS26.

Actualización: documento explicativo por Fernando Acero.

Fuente: DiarioTI

3 comentarios:

  1. Anónimo5/3/14 18:10

    Debian puso un parche a modo de actualización para corregir dicha vulnerabilidad.
    Fecha: 05/03/2014
    Captura de pantalla:
    http://k39.kn3.net/5/0/4/1/C/5/2C2.png

    ResponderEliminar
  2. Anónimo6/3/14 05:43

    OpenSSL toda la vida + compilación a mano de todos los paquetes que tienen algo que ver con la seguridad. No afectado.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!