El proyecto OpenSSL ha anunciado la publicación de una
nueva versión de OpenSSL destinada a corregir una vulnerabilidad, calificada de
gravedad alta, que podría permitir la realización de ataques de denegación de
servicio.
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).
Detalle de la vulnerabilidad
- La vulnerabilidad, con CVE-2017-3733, reside en que
si durante una renegociación se encuentra la extensión Encrypt-Then-Mac
pero esta no estaba en la negociación original (o viceversa) se puede
provocar una denegación de servicio (dependiendo de la suite de cifrado).
Se ven afectados tanto clientes como servidores.
Recomendación
OpenSSL ha publicado la versión 1.1.0e disponible desde http://openssl.org/source/
- No afecta a versiones OpenSSL 1.0.2.
- Se recuerda que las versiones OpenSSL 1.0.1
finalizaron su soporte a finales del año pasado.
Más información:
- OpenSSL Security Advisory [16 Feb 2017]. Encrypt-Then-Mac
renegotiation crash (CVE-2017-3733). https://www.openssl.org/news/secadv/20170216.txt