Los responsables del
desarrollo de OpenSSL anunciaron el lanzamiento de una nueva actualización de
seguridad, la 1.1.0g, para el conjunto de librerías y dependencias que lo
forman. Esta nueva actualización se centra en solucionar, concretamente, dos
vulnerabilidades (una de peligrosidad media y otra baja) que han sido
detectadas gracias a OSS-Fuzz, el sistema de código abierto de Fuzzing de
Google.
OpenSSL es una aplicación
que está formada por un conjunto de librerías criptográficas que, utilizadas
junto a otros paquetes, como OpenSSH, nos permiten hacer uso de funciones
avanzadas de seguridad en páginas web y aplicaciones. Al ser una herramienta
esencial, su mantenimiento es vital para evitar que vuelva a ocurrir un nuevo
Heartbleed, y por ello, los desarrolladores la someten constantemente a tests y
pruebas de vulnerabilidades con el fin de poder detectar y mitigar cuanto antes
cualquier fallo que se pueda descubrir en ella.
Las vulnerabilidades que soluciona OpenSSL
1.1.0g
La primera de estas
vulnerabilidades ha sido registrada como CVE-2017-3736. Este fallo de seguridad
de peligrosidad media en OpenSSL puede permitir a un atacante recuperar las
claves de cifrado utilizadas para proteger las comunicaciones y, por lo tanto,
acceder a ellas. Aunque en un principio se trata de un fallo aparentemente grave,
en realidad ha sido denominado como peligrosidad media debido a que los
desarrolladores lo consideran un fallo muy complicado de explotar.
Este fallo de
seguridad es muy similar a otros vistos ya con anterioridad, uno en diciembre
de 2015 y dos nuevos fallos detectados a principios de este mismo año. En esta
ocasión, este fallo solo afecta a algunos componentes de hardware muy
concretos, como, por ejemplo, BMI1, BMI2 y ADX, así como en los procesadores
Intel Broadwell y posteriores y en los nuevos AMD Ryzen.
La segunda de las
vulnerabilidades, registrada como CVE-2017-3735, lleva presente en OpenSSL
desde 2006, más de 11 años, y se descubrió el pasado mes de agosto. Este fallo
de seguridad ha sido considerado como de baja importancia y peligrosidad (motivo
por el cual no se ha publicado antes un parche) y puede permitir a un usuario
malintencionado leer información más allá de los límites de la memoria.
Versiones afectadas por estas dos
vulnerabilidades de OpenSSL
Tal como podemos ver
en el comunicado oficial de OpenSSL, los desarrolladores recomiendan actualizar
a la versión 1.1.0g, en caso de estar utilizando la rama 1.1.0, o a la versión
1.0.2m, en caso de estar utilizando la rama 1.0.2.
Las ramas 0.9.8 y
1.0.0 llevan ya desde diciembre de 2015 sin soporte, por lo que su uso está
totalmente desaconsejado. Igualmente, la rama 1.0.1 lleva sin soporte desde
diciembre de 2016, por lo que tampoco debemos utilizarla, ya que tiene fallos
que pueden ponen en peligro nuestras conexiones.
Poco a poco, OpenSSL
se va haciendo cada vez más fuerte y más seguro. Un mantenimiento más o menos
frecuente, y someterlo a pruebas como las que ofrece OSS-Fuzz, el servicio de
análisis de vulnerabilidades de Google, nos ayudan a evitar un nuevo Heartbleed
que ponga en jaque, otra vez, la seguridad de todo Internet.
Fuente: openssl
