OpenSSL 1.1.0e soluciona una vulnerabilidad de alta gravedad
OpenSSL es un proyecto libre formado por un conjunto de herramientas y librerías criptográficas que se utilizan junto a otros paquetes, como, por ejemplo, OpenSSH para permitir a los desarrolladores implementar funciones de seguridad a sus aplicaciones y páginas web. Al ser una herramienta crítica en la seguridad, es muy importante mantenerla siempre actualizada de manera que podamos evitar que cualquier fallo en ella pueda poner en peligro nuestras conexiones.
El equipo de desarrollo de OpenSSL hizo público a principios de semana que el pasado jueves lanzarían un nuevo parche de seguridad con el que solucionarían una vulnerabilidad grave en esta herramienta y, efectivamente, así ha sido. Hace algunas horas, los responsables de este kit de herramientas han publicado una nueva versión de la misma, OpenSSL 1.1.0e, la cual soluciona una vulnerabilidad de peligrosidad “alta” según los expertos en seguridad.
Esta nueva vulnerabilidad ha sido denominada por los expertos como “Encrypt-Then-Mac renegotiation crash“. Debido a este fallo de programación, es posible que si se intenta negociar el acuerdo con la extensión “Encrypt-Then-Mac” y esta no estaba incluida en el handshake original, podía hacer que todo OpenSSL dejara de funcionar en cualquiera de los dos extremos de la conexión, dependiendo del tipo de cifrado que se intentara aplicar.
Esta vulnerabilidad, bastante grave además según los expertos de seguridad, solo afecta a la rama 1.1.0 de OpenSSL, por lo que los usuarios de esta versión deben asegurarse de instalar lo antes posible la última versión disponible que, en este caso, es la versión 1.1.0e. Los usuarios de la versión 1.0.2 de OpenSSL no están afectados por esta vulnerabilidad.
Este fallo se dio a conocer el pasado 31 de enero de 2017, por lo que no ha pasado mucho tiempo hasta que ha sido solucionado.
Debemos asegurarnos de estar utilizando una versión de OpenSSL con soporte
Como hemos dicho, tan solo las versiones 1.1.x y 1.0.2 de OpenSSL tiene actualmente soporte y reciben parches de seguridad. Las versiones anteriores a estas, como, por ejemplo, la 1.0.0, la 0.9.8 y la 1.0.1 actualmente no cuentan con ningún tipo de soporte y no reciben parches de seguridad, por lo que de encontrar algún fallo de seguridad en cualquiera de estas versiones, este no se solucionará y los usuarios que las tengan instaladas quedarán, de forma indefinida, expuestos a ellos.
Algunos expertos en seguridad informática están investigando si este fallo también afecta a las versiones de LibreSSL, alternativa mantenida por OpenBSD, o a BoringSSL, alternativa de la mano de Google, aunque, a simple vista, estas opciones no parecen afectadas por este fallo de seguridad.
¿Qué opinas sobre los fallos de seguridad de OpenSSL? ¿Tienes siempre instalada la última versión de este conjunto de herramientas para establecer conexiones seguras?
Via: www.redeszone.net