El proyecto OpenSSL publicó la semana pasada nuevos parches de
seguridad para su herramienta de cifrado homónima. El software elimina varias
vulnerabilidades de nivel moderado.
Paralelamente, la entidad confirmó que ésta será la última
actualización para las versiones 0.9.8 y 1.0.0. El anuncio inicial fue hecho
hace un año, cuando se informó que el soporte para ambas versiones sería
descontinuado a partir del 31 de diciembre de 2015. En concreto, lo anterior
implica que las vulnerabilidades descubiertas con posterioridad a esa fecha no
serán eliminadas para el caso de estas versiones.
Cabe señalar que, en realidad,
es una advertencia matizada. En efecto, si ambas versiones son incorporadas, por ejemplo, en distribuciones
de Linux que cuentan con soporte activo, es probable que los parches de
seguridad sean implementados en las versiones de OpenSSL que acompañan a estas
distribuciones. En tal caso, esta actualización estaría a cargo de la organización responsable de la
distribución, y no del proyecto OpenSSL en sí.
Alternativas
- Para el caso de todos los demás usuarios afectados, una actualización a OpenSSL 1.0.1 solo constituye una solución temporal. Esto se debe a que el proyecto OpenSSL sólo ofrecerá soporte para la versión OpenSSL 1.0.1 hasta el 31 de diciembre de 2016.
- Una solución de largo plazo es utilizar OpenSSL 1.0.2, que contará con soporte hasta el 31 de diciembre de 2019. Esta versión es denominada LTS (Long Term Support) que, como su nombre en inglés lo indica, estará respaldada a largo plazo.
- El proyecto OpenSSL también prepara una actualización de mayor envergadura, anunciada para el 28 de abril de 2016. Esta versión contará con soporte durante dos años, y es poco probable que sea distribuida como LTS.
- Durante un prolongado período de 2014, OpenSSL se vio afectada por grandes problemas de seguridad (ver artículos de referencia sobre Heartbleed), que se vieron en parte solucionados cuando la entidad recibió recursos económicos para su gestión. Los problemas en sí motivaron además la creación de soluciones alternativas, basadas en parte en el mismo código fuente, como por ejemplo BoringSSL de Google.