Llegamos a ustedes gracias a:



Noticias

OpenSSL parcha ocho nuevas vulnerabilidades

[12/01/2015] Los administradores de servidores están avisados de que deben actualizar OpenSSL nuevamente para reparar ocho nuevas vulnerabilidades, dos de las cuales pueden conducir a ataques de denegación de servicio.

Las fallas son solo de severidad moderada y baja, a diferencia de la vulnerabilidad Heartbleed descubierta el año pasado. Heartbleed podría haber permitido a los atacantes robar información confidencial que incluye las llaves de cifrado de los servidores.

Sin embargo, "los administradores de sistemas deberían planear el upgrade de sus instancias de servidor OpenSSL en los siguientes días, sostuvo Tod Beardsley, gerente de ingeniería de Rapid7, firma de inteligencia sobre vulnerabilidades, mediante correo electrónico el viernes.

Las nuevas versiones de OpenSSL lanzadas son 1.0.1k, 1.0.0p y 0.9.8zd.

Dos vulnerabilidades de denegación de servicio, registradas como CVE-2014-3571 y CVE-2015-0206, solo afectan a la implementación de OpenSSL del protocolo DTLS (Datagram Transport Layer Security), el cual no es tan usado como el protocolo TLS (Transport Layer Security).

El DTLS proporciona comunicaciones cifradas sobre protocolos datagram como el UDP y es utilizado en VPN (Virtual Private Networks) y WebRTC (Web Real-Time Communication).

"Para mantener un servicio confiable, se debe hacer upgrade de OpenSSL o reemplazarlo por librerías SSL que no se encuentren afectadas por estos problemas, como LibreSSL, indicó Beardsley.

Otras fallas sí se aplican al TLS y pueden generar un comportamiento inesperado cuando OpenSSL está construido con la opción no-ssl3, una situación en donde el servidor acepta certificados DH para la autentificación de clientes sin el mensaje de verificación del certificado y un caso en donde un cliente acepta un handshake ECDH a pesar del mensaje de falta de llave del servidor, lo cual retira la propiedad de secreto de la ciphersuite.

"Aún estamos viendo los problemas descubiertos hoy, sostuvo Beardsley. "Aunque estas vulnerabilidades parecen conllevar una ejecución remota de código o revelación de información, haremos saber al equipo de OpenSSL si encontramos algún vector de ataque nuevo o inesperado.

Lucian Constantin, IDG News Service