Algunos recordamos Heartbleed, una vulnerabilidad crítica de OpenSSL que sorprendió a muchas organizaciones, y reparar el problema fue una tarea importante. Heartbleed hizo que OpenSSL y otros proyectos de código abierto reconsideraran cómo abordan los problemas de seguridad y se comunican con sus usuarios. OpenSSL comenzó a anunciar previamente cualquier actualización de seguridad con una semana de anticipación.

OpenSSL anunció que lanzaría OpenSSL 3.0.7 mañana martes y que solucionará una nueva vulnerabilidad crítica que afecta a las configuraciones comunes y que también es probable que sea explotable.

Los ejemplos incluyen la divulgación significativa del contenido de la memoria del servidor (potencialmente revelando detalles del usuario), vulnerabilidades que pueden explotarse fácilmente de forma remota para comprometer las claves privadas del servidor o donde la ejecución remota de código se considera probable en situaciones comunes.

La actualización solo afectará a OpenSSL 3.0.x, no a 1.1.1. Ahora es el momento de averiguar dónde y cómo está utilizando OpenSSL 3.0.x. Para la mayoría de los sistemas, podrá utilizar la utilidad de línea de comandos de openssl: openssl version

OpenSSL 3.0.0, la primera versión estable de OpenSSL 3.0, se lanzó en septiembre de 2021, hace aproximadamente un año. Es probable que cualquier sistema operativo anterior use OpenSSL 1.1.1, que no se ve afectado.

Estos problemas se mantendrán en privado y darán lugar a una nueva versión de todas las versiones compatibles. Intentaremos solucionarlos lo antes posible.

Las versiones vulnerables de OpenSSL (3.0 y superiores) se utilizan actualmente en los sistemas operativos Linux, incluidos Ubuntu 22.04 LTS, MacOS Ventura, Fedora 36 y otros. Sin embargo, las distribuciones de Linux como Debian solo incluyen OpenSSL 3.x en sus versiones más recientes, que todavía se consideran versiones de prueba y, por lo tanto, el uso generalizado en los sistemas de producción puede ser limitado.

Vale la pena señalar que muchas imágenes populares de Docker Official usan Debian Bullseye y Alpine, que todavía usan OpenSSL 1.x y no se ven afectadas. Las imágenes de contenedor oficiales de Docker para proyectos como nginx y httpd, populares para manejar el tráfico web, también usan Bullseye y Alpine y no se ven afectadas.

Node.js 18.x y 19.x también usan OpenSSL3 de forma predeterminada, por lo que anticipamos actualizaciones para Node.js en los próximos días.

Finalmente, si sus propios desarrolladores usan C/C++, es posible que estén incorporando paquetes OpenSSL v3 en su código.

Aquí hay una lista rápida de versiones de OpenSSL para diferentes sistemas operativos.

Seguiremos actualizando...

Fuente: ISC