OpenSSL ha publicado nuevos boletines de seguridad donde se
informaba de la solución de una serie de fallos de seguridad que afectaban
directamente a la seguridad de las conexiones seguras que se realizaran a
través de este componente.
OpenSSL es un conjunto de librerías utilizado por millones de servidores de toda la red para establecer conexiones seguras punto a punto.
Detalle e Impacto potencial de las vulnerabilidades
corregidas
Los fallos que se han solucionado con los últimos boletines de
seguridad son:
Logjam, un fallo en el
protocolo TLS
- El primero de los fallos de seguridad ha sido denominado como Logjam y catalogado con el identificador CVE-2015-4000. Este fallo se debe principalmente a un problema con el protocolo TLS donde piratas informáticos mediante ataques man-in-the-middle podían rebajar la seguridad de las claves Diffie-Hellman de 512 bits y comprometer así las comunicaciones.
- Por suerte la vulnerabilidad no se ha estado explotando durante demasiado tiempo y la versión más reciente de OpenSSL ya ha aplicado un parche de seguridad bloqueando todas las negociaciones entre Diffie-Hellman inferiores a 768 bits. En un futuro cercano el límite se va a ampliar hasta 1024 bits para garantizar una mayor seguridad.
- Se podía crear una estructura ECParameters maliciosa que causara que OpenSSL entrara en un loop infinito dando lugar así a ataques de denegación de servicio contra cualquier sistema que gestione claves públicas.
- Lectura fuera de los límites del componente X509_cmp_time
- Un atacante puede generar certificados erróneos y mal formados causando un fallo de segmentación y dando lugar a un ataque DoS sobre las aplicaciones que verifican los certificados.
- Al cerrarse estas aplicaciones se modifican las reglas y se pueden llegar a leer varios bytes de zonas restringidas de la memoria Ram.
- Un fallo en PKCS7 hace que si no se detecta contenido “Enveloped Content ” correcto se pueda dar lugar a un ataque de denegación de servicio que deje el sistema totalmente bloqueado. Un atacante puede generar paquetes ASN.1-encoded malicioso que omite contenido y hace referencia a punteros nulos de manera que al descifrarlos no se obtengan los valores esperados dando lugar a este falo.
- Este fallo no afecta ni a clientes ni a servidores OpenSSL sino que sólo afecta a las aplicaciones encargadas de descifrar los paquetes PKCS7.
- Este fallo ocurre al verificar un mensaje con datos firmados si al comprobarlo alguna de las funciones tiene un Hash desconocido. Esto puede dar lugar a ataques de denegación de servicio contra cualquier sistema simplemente utilizando el módulo de CMS.
- Si un cliente de DTLS recibe datos entre la función ChangeCipherSpec y los mensajes de cierre de sesión es posible que se dé un estado de fallo de liberación, dando lugar a problemas de corrupción de memoria y causando el bloqueo de la herramienta.
- Este es el único fallo que no ha sido catalogado como crítico ni moderado.
- En este fallo si se intenta procesar un evento NewSessionTicket mientras se reutiliza un “ticket de sesión” anterior se puede llegar a desencadenar una fuga de datos de ambas sesiones.
Para asegurarnos de que estamos protegidos ante estos nuevos
fallos de seguridad que explicamos a continuación debemos actualizar nuestras
librerías OpenSSL a las versiones más recientes:
- Los usuarios de la versión 1.0.2 deben actualizar a 1.0.2b
- Los usuarios de la versión 1.0.1 deben actualizar a to 1.0.1n
- Los usuarios de la versión 1.0.0 deben actualizar a to 1.0.0s
- Los usuarios de la versión 10.9.8 deben actualizar a to 0.9.8zg
También recuerda OpenSSL que las versiones 1.0.0 y 0.9.8
acaban su soporte a finales de año.
Más información
- Web principal de OpenSSL https://www.openssl.org/news/secadv_20150611.txt