El proyecto OpenSSL ha anunciado la publicación de una
nueva versión de OpenSSL destinada a corregir tres vulnerabilidades, una
calificada de impacto alto, otra de importancia media y una de gravedad baja.
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).
Detalle de los problemas corregidos con la actualización
- El primer problema reside en una vulnerabilidad (CVE-2016-7054), de gravedad alta, que podría permitir la realización de ataques de denegación de servicio en conexiones que usen las suites de cifrado *-CHACHA20-POLY1305.
- Por otra parte, de gravedad media, con CVE-2016-7053, un problema en el tratamiento de estructuras CMS inválidas puede provocar una desreferencia a puntero nulo y la consiguiente denegación de servicio.
- Por último, de gravedad baja (CVE-2016-7055), un error en el procedimiento de multiplicación Broadwell-specific Montgomery en cierta longitud de datos. Un usuario remoto puede enviar datos especialmente diseñados en ciertos casos para provocar errores en operaciones de clave pública en configuraciones en las que múltiples clientes remotos seleccionan el algoritmo EC afectado y donde el servidor de atacado comparte una clave privada entre múltiples clientes. También pueden ocurrir fallos de autenticación transitoria y de negociación de claves.
- OpenSSL ha publicado la versión 1.1.0c disponible desde http://openssl.org/source/
- También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.
- OpenSSL Security Advisory [10 Nov 2016] https://www.openssl.org/news/secadv/20161110.txt
