19 feb. 2017

OpenSSL 1.1.0e soluciona una vulnerabilidad de alta gravedad

El equipo de desarrollo de OpenSSL hizo público a principios de semana que el pasado jueves lanzarían un nuevo parche de seguridad con el que solucionarían una vulnerabilidad grave en esta herramienta y, efectivamente, así ha sido. Hace algunas horas, los responsables del proyecto han publicado una nueva versión de la misma, OpenSSL 1.1.0e, la cual soluciona una vulnerabilidad de peligrosidad “alta” según los expertos en seguridad.

Esta nueva vulnerabilidad ha sido denominada por los expertos como "Encrypt-Then-Mac renegotiation crash". Debido a este fallo de programación, es posible que si se intenta negociar el acuerdo con la extensión "Encrypt-Then-Mac" y esta no estaba incluida en el handshake original, podía hacer que todo OpenSSL dejara de funcionar en cualquiera de los dos extremos de la conexión, dependiendo del tipo de cifrado que se intentara aplicar.

Esta vulnerabilidad, bastante grave además según los expertos de seguridad, solo afecta a la rama 1.1.0 de OpenSSL, por lo que los usuarios de esta versión deben asegurarse de instalar lo antes posible la última versión disponible que, en este caso, es la versión 1.1.0e. Los usuarios de la versión 1.0.2 de OpenSSL no están afectados por esta vulnerabilidad.

Este fallo se dio a conocer el pasado 31 de enero de 2017, por lo que no ha pasado mucho tiempo hasta que ha sido solucionado.




Algunos expertos en seguridad informática están investigando si este fallo también afecta a las versiones de LibreSSL, alternativa mantenida por OpenBSD, o a BoringSSL, alternativa de la mano de Google, aunque, a simple vista, estas opciones no parecen afectadas por este fallo de seguridad.

Fuente: Redes Zone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!