El proyecto OpenSSL ha publicado un boletín en el que corrige 13 nuevas vulnerabilidades, dos de ellas calificadas de impacto bajo y otras 10 como moderado, pero una está valorada como de gravedad alta. Aunque no todas las versiones de OpenSSL están afectadas por todas las vulnerabilidades.
Detalle e Impacto de las vulnerabilidades corregidas
- La vulnerabilidad considerada de gravedad alta (CVE-2015-0291) puede permitir denegaciones de servicio si un cliente se conecta a un servidor de OpenSSL 1.0.2 y renegocia con un algoritmo de firma digital inválido, lo que provoca una referencia a un puntero nulo.
- Por otra parte, también se ha recalificado la gravedad de la vulnerabilidad FREAK, que previamente había sido clasificada como de gravedad baja, ahora pasa a considerarse como de gravedad alta. Esto es debido a que se ha comprobado que es mucho más habitual de lo que inicialmente se pensaba.
- Con gravedad moderada se han anunciado vulnerabilidades en la funcionalidad "multiblock", en las rutinas de verificación de firmas si se usa ASN.1 con algoritmo RSA PSS y parámetros inválidos, al reutilizar estructuras en el tratamiento ASN.1, en el tratamiento de PKCS#7, en el tratamiento de datos codificados en base64, al procesar mensajes SSLv2 CLIENT-MASTER-KEY específicamente creados y en las funciones "DTLSv1_listen" y "ASN1_TYPE_cmp".
- OpenSSL ha publicado las versiones 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf disponibles desde http://openssl.org/source/
- También se recuerda por parte de OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.
- OpenSSL Security Advisory [19 Mar 2015] http://openssl.org/news/secadv_20150319.txt
- FREAK, un nuevo ataque a SSL/TLS http://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html