Ahora los desarrolladores de OpenSSL han actualizado su política interna de seguridad para incluir un nivel de gravedad “crítico”, que tendrá mayor prioridad sobre el nivel más alto hasta ahora, que era el nivel “alto”. Esta nueva distinción en el nivel de gravedad se utilizará para etiquetar las vulnerabilidades que afectan a casos de uso común de OpenSSL, además también se incorporarán todas las vulnerabilidades con alta probabilidad de ser explotables.
Según OpenSSL, la divulgación significativa de los
contenidos de la memoria del servidor (como ocurrió con la vulnerabilidad
Heartbleed), o las vulnerabilidades que pueden ser fácilmente explotadas de
forma remota para comprometer las claves privadas del servidor se considerarán
críticas. Asimismo también estará en este nivel crítico los fallos de seguridad
que permitirían la ejecución remota de código en situaciones comunes.
Sin embargo, en el nivel crítico no estarán los ataques de canales laterales locales, o fallos de seguridad teóricos ni tampoco los difíciles de explotar, este tipo de fallos seguirán estando en el nivel de seguridad “alto”. Según los responsables del proyecto OpenSSL, el anterior nivel de calificación “alto” era demasiado general, y era necesario crear un nuevo nivel para adaptarse a los nuevos tiempos, el anterior nivel cubría temas desde la denegación de servicio a la ejecución remota de código.
Además de dar mayor prioridad a los fallos de seguridad
críticos, este nuevo nivel también se ha creado de cara a los administradores
de sistemas y responsables de seguridad lógica de las organizaciones, ya que
ahora deberán priorizar los parches que contengan la solución a estos fallos.
Fuente: UNAM.mx