4 may. 2016

Actualizaciones críticas para OpenSSL (Sí, de nuevo)

OpenSSL ha lanzado dos actualizaciones críticas, que permitirían ataques y descifrado de comunicaciones remotas, y la solución a otros cuatro errores de "baja importancia".

Uno de los defectos de alta severidad, identificados como CVE-2016-2107, abre la puerta a un Padding Oracle Attack, que permitiría el descifrado de tráfico si la conexión utiliza un cifrado Advanced Encryption Standard Cipher Algorithm en modo Cipher Block Chaining (AES CBC) y cuando el servidor soporta AES-NI.

OpenSSL dijo en esta primera vulnerabilidad forma parte de la reparación para el ataque Lucky 13 de 2013, que aprovecha un side-channel contra TLS, específicamente en la etapa de autenticación en la implementación de TLS.

"El ataque a AES es interesante. Si se puede interceptar tráfico (mediante un ataques MitM) luego se puede inyectar paquetes, mirar los códigos de error y finalmente descifrar el tráfico" dijo Rich Salz, miembro del equipo de desarrollo de OpenSSL e ingeniero de Akamai. "Así se podría hackear el Wi-Fi en Starbucks o forzar rutas internacionales de DNS o BGP"

OpenSSL 1.0.2h y 1.0.1t solucionan esta vulnerabilidad.

La segunda vulnerabilidad de alta severidad CVE-2016-2108 es una corrupción de memoria en el codificador Abstract Syntax Notation One (ASN.1) de OpenSSL y se ven afectadas todas las versiones anteriores a abril de 2015. El error fue parcheado el 18 de abril de 2015 y lanzado en junio pasado, pero nadie vio el impacto real de seguridad. OpenSSL explicó que la vulnerabilidad por sí misma no plantea un problema de seguridad, pero si se combina con un segundo error relacionado en el analizador del protocolo ASN.1, podría resultar en un desbordamiento de búfer.

OpenSSL 1.0.2c y 1.0.1o solucionan esta vulnerabilidad.

Estas actualizaciones ya están disponibles en todos las principales distribuciones de Linux.

Finalmente se recuerda a los usuarios que el soporte de seguridad para la versión 1.0.1 termina el 31 de diciembre y que el soporte para 0.9.8 y 1.0.0 terminó en diciembre pasado.

Fuente: Threatpost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!