El nuevo OpenSSL 1.1.0g corrige dos vulnerabilidades detectadas con el servicio OSS-Fuzz
Sin duda, una de las aplicaciones esenciales para la seguridad de Internet es OpenSSL. Esta aplicación está formada por un conjunto de librerías criptográficas que, utilizadas junto a otros paquetes, como OpenSSH, nos permiten hacer uso de funciones avanzadas de seguridad en páginas web y aplicaciones. Al ser una herramienta esencial, su mantenimiento es vital para evitar que vuelva a ocurrir un nuevo Heartbleed, y por ello, los desarrolladores la someten constantemente a tests y pruebas de vulnerabilidades con el fin de poder detectar y mitigar cuanto antes cualquier fallo que se pueda descubrir en ella.
Hace algunas horas, los responsables del desarrollo de OpenSSL anunciaban el lanzamiento de una nueva actualización de seguridad, la 1.1.0g, para este conjunto de librerías y dependencias. Esta nueva actualización se centra en solucionar, concretamente, dos vulnerabilidades (una de peligrosidad media y otra baja) que han sido detectadas gracias a OSS-Fuzz, el sistema de código abierto de Fuzzing de Google.
Las vulnerabilidades que soluciona OpenSSL 1.1.0g
La primera de estas vulnerabilidades ha sido registrada como CVE-2017-3736. Este fallo de seguridad de peligrosidad media en OpenSSL puede permitir a un atacante recuperar las claves de cifrado utilizadas para proteger las comunicaciones y, por lo tanto, acceder a ellas. Aunque en un principio se trata de un fallo aparentemente grave, en realidad ha sido denominado como peligrosidad media debido a que los desarrolladores lo consideran un fallo muy complicado de explotar.
Este fallo de seguridad es muy similar a otros vistos ya con anterioridad, uno en diciembre de 2015 y dos nuevos fallos detectados a principios de este mismo año. En esta ocasión, este fallo solo afecta a algunos componentes de hardware muy concretos, como, por ejemplo, BMI1, BMI2 y ADX, así como en los procesadores Intel Broadwell y posteriores y en los nuevos AMD Ryzen.
La segunda de las vulnerabilidades, registrada como CVE-2017-3735, lleva presente en OpenSSL desde 2006, más de 11 años, y se descubrió el pasado mes de agosto. Este fallo de seguridad ha sido considerado como de baja importancia y peligrosidad (motivo por el cual no se ha publicado antes un parche) y puede permitir a un usuario malintencionado leer información más allá de los límites de la memoria.
Versiones afectadas por estas dos vulnerabilidades de OpenSSL
Tal como podemos ver en el comunicado oficial de OpenSSL, los desarrolladores recomiendan actualizar a la versión 1.1.0g, en caso de estar utilizando la rama 1.1.0, o a la versión 1.0.2m, en caso de estar utilizando la rama 1.0.2.
Las ramas 0.9.8 y 1.0.0 llevan ya desde diciembre de 2015 sin soporte, por lo que su uso está totalmente desaconsejado. Igualmente, la rama 1.0.1 lleva sin soporte desde diciembre de 2016, por lo que tampoco debemos utilizarla, ya que tiene fallos que pueden ponen en peligro nuestras conexiones.
Poco a poco, OpenSSL se va haciendo cada vez más fuerte y más seguro. Un mantenimiento más o menos frecuente, y someterlo a pruebas como las que ofrece OSS-Fuzz, el servicio de análisis de vulnerabilidades de Google, nos ayudan a evitar un nuevo Heartbleed que ponga en jaque, otra vez, la seguridad de todo Internet.
¿Qué opinas de las nuevas vulnerabilidades solucionadas en OpenSSL?
Via: www.redeszone.net