Nueva vulnerabilidad crítica en OpenSSL (Parchea!)
El equipo de OpenSSL anunció que mañana jueves 9 de julio se pondrá a disposición nueva versión de OpenSSL 1.0.2d y 1.0.1p, la cual soluciona una vulnerabilidad de seguridad clasificada como de "alta severidad".Si bien no se conocen más detalles sobre la vulnerabilidad, se sabe que la misma no afecta a la serie 1.0.0 y 0.9.8.
Algunos expertos han especulado que este error podría ser otro como Heartbleed o POODLE. Sin embargo, muchas otras vulnerabilidades de severidad alta ya se corrigieron en marzo de este año -incluida FREAK-, sin que las cosas llegaran a ser tan graves.
Actualización 09/07: luego de publicados los detalles, la "misteriosa" vulnerabilidad requiere acción inmediata de los sysadmins ya que pemitiría ataques Man-in-the-Middle e impersonalizar sitios protegidos (SSL), VPN, servidores de correo y cualquier conexión que utilice esta librería criptográfica. Por lo que el problema afecta a clientes Transport Layer Security (TLS), Secure Sockets Layer (SSL) y DTLS y servidores SSL/TLS/DTLS.
La vulnerabilidad identificada como CVE-2015-1793 corresponde a un problema en el proceso de verificación del certificado, lo cual llevaría a confiar en certificados fraudulentos.
La vulnerabilidad fue descubierta por Adam Langley y David Benjamin del proyecto Google BoringSSL, la implementación propia que Google hizo de OpenSSL.
La falla afecta a OpenSSL versiones 1.0.1n, 1.0.2b, 1.0.2c, y 1.0.1o. Es recomendable actualizar a 1.0.2d y 1.0.1p respectivamente.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!