9 jul. 2015

Nueva vulnerabilidad crítica en OpenSSL (Parchea!)

El equipo de OpenSSL anunció que mañana jueves 9 de julio se pondrá a disposición nueva versión de OpenSSL 1.0.2d y 1.0.1p, la cual soluciona una vulnerabilidad de seguridad clasificada como de "alta severidad".

Si bien no se conocen más detalles sobre la vulnerabilidad, se sabe que la misma no afecta a la serie 1.0.0 y 0.9.8.

Algunos expertos han especulado que este error podría ser otro como Heartbleed o POODLE. Sin embargo, muchas otras vulnerabilidades de severidad alta ya se corrigieron en marzo de este año -incluida FREAK-, sin que las cosas llegaran a ser tan graves.

Actualización 09/07: luego de publicados los detalles, la "misteriosa" vulnerabilidad requiere acción inmediata de los sysadmins ya que pemitiría ataques Man-in-the-Middle e impersonalizar sitios protegidos (SSL), VPN, servidores de correo y cualquier conexión que utilice esta librería criptográfica. Por lo que el problema afecta a clientes Transport Layer Security (TLS), Secure Sockets Layer (SSL) y DTLS y servidores SSL/TLS/DTLS.

La vulnerabilidad identificada como CVE-2015-1793 corresponde a un problema en el proceso de verificación del certificado, lo cual llevaría a confiar en certificados fraudulentos.

La vulnerabilidad fue descubierta por Adam Langley y David Benjamin del proyecto Google BoringSSL, la implementación propia que Google hizo de OpenSSL.

La falla afecta a OpenSSL versiones 1.0.1n, 1.0.2b, 1.0.2c, y 1.0.1o. Es recomendable actualizar a 1.0.2d y 1.0.1p respectivamente.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!