El proyecto OpenSSL ha anunciado la publicación de nuevas
versiones de OpenSSL destinadas a corregir cuatro vulnerabilidades, tres
calificadas de impacto medio y otra de importancia baja.
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).
Detalle e Impacto potencial de vulnerabilidades
corregidas
- El primer problema, con CVE-2017-3731, afecta a
clientes o servidores SSL/TLS en sistemas 32bits cuando se usa un cifrado
específico, entonces un paquete truncado puede provocar una lectura fuera
de límites en ese servidor o cliente. Para OpenSSL 1.1.0 el fallo afecta
cuando se usa CHACHA20/POLY1305; para OpenSSL 1.0.2 el problema se puede
explotar con RC4-MD5.
- Otra vulnerabilidad de gravedad media, con
CVE-2017-3730, afecta a OpenSSL 1.1.0 si un servidor malicioso suministra
parámetros incorrectos para un intercambio de claves DHE o ECDHE, puede
provocar una desreferencia de puntero nulo en el cliente con la
consiguiente caída. Un usuario malicioso podría provocar condiciones de
denegación de servicio.
- Otra vulnerabilidad de gravedad media, con
CVE-2017-3732, reside en un error de propagación de acarreo en
BN_mod_exp() puede permitir obtener determinada información sobre claves
privadas en determinadas circunstancias. Se ven afectados sistemas
configurados con parámetros DH persistentes y que compartan claves
privadas entre múltiples clientes.
- Por último, de gravedad baja y con CVE-2016-7055,
las multiplicaciones Montgomery pueden producir resultados incorrectos. El
problema fue corregido anteriormente en la versión 1.1.0c, por lo que solo
afecta a versiones OpenSSL 1.0.2.
Recomendación
- OpenSSL ha
publicado las versiones 1.1.0d y 1.0.2k disponibles desde http://openssl.org/source/
- También se
recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales
del año pasado.
Más información:
- OpenSSL Security
Advisory [26 Jan 2017] https://www.openssl.org/news/secadv/20170126.txt
