Llegamos a ustedes gracias a:



Noticias

No más reparaciones de seguridad para las ramas más viejas de OpenSSL

El soporte para las ramas 0.9.8 y 1.0.0 de OpenSSL terminará el 31 de diciembre.

[07/12/2015] La OpenSSL Software Foundation ha lanzado nuevos parches para la popular biblioteca de cifrado de código abierto, pero para dos de sus ramas más antiguas serán probablemente las últimas actualizaciones de seguridad.

Esto podría implicar problemas para algunas aplicaciones empresariales que unen las versiones 0.9.8 o 1.0.0 de OpenSSL y para los sistemas antiguos -dispositivos embebidos en particular- en donde las actualizaciones son raras.

Se espera que OpenSSL 1.0.0t y 0.9.8zh, que fueron lanzadas el jueves, sean las últimas actualizaciones porque el soporte para estas dos ramas terminará el 31 de diciembre, como se indica en el documento de estrategia de releases de la organización.

Las versiones 1.0.0t y 0.9.8zh contienen una reparación para la vulnerabilidad de fugas de datos de memoria de gravedad moderada, que se puede accionar cuando las estructuras X509_ATTRIBUTE no se encuentran bien formadas. La versión 0.9.8zh también repara una condición de bajo impacto cuando se manejan las pistas sobre la identidad PSK que previamente se habían reparado en las versiones más antiguas 1.0.0, 1.0.1 y 1.0.2.

Las versiones 1.0.2e y 1.0.1q también fueron publicadas el jueves, para reparar otras dos vulnerabilidades moderadas, una que afecta solo a la rama 1.0.2 y una que afecta a ambas.

Se espera que el soporte para la rama 1.0.1 finalice el 31 de diciembre del 2016 y para la rama 1.0.2 el 31 de diciembre del 2019. Las aplicaciones y sistemas que aún se basan en OpenSSL 0.9.8 o 1.0.0 deben actualizarse tan pronto como sea posible a una de estas versiones, pero esto puede no ser fácil.

Investigaciones anteriores han demostrado que muchas empresas que usan software construido internamente no mantienen un buen registro de cuáles versiones de las librerías usaron sus desarrolladores en cuáles de sus aplicaciones. Estas empresas podrían tener problemas para identificar en qué parte de sus organizaciones se utilizan las versiones de OpenSSL que pronto van a dejar de tener soporte.

Cuando la vulnerabilidad crítica Heartbleed fue anunciada en abril del 2014, incluso los grandes proveedores de software y hardware requirieron de meses para identificar cuál de sus productos contenían versiones vulnerables de OpenSSL.

Esto hace muy probable que algunos sistemas y aplicaciones con OpenSSL 0.9.8 y 1.0.0 nunca se actualizarán, lo cual las dejará expuestas a cualquier vulnerabilidad crítica que se encuentre en la biblioteca en el futuro.

Lucian Constantin, IDG News Service