De Hispasec – Una al Día: OpenSSL soluciona cuatro vulnerabilidades (04/12/2015)

Publicado el 08/12/2015 por Hector Suarez Planas

Saludos nuevamente.

Como ya es sabido OpenSSL ha tenido en los últimos meses bastante de que hablar, por lo que estar pendientes de cada actualización que emita es fundamental:

OpenSSL soluciona cuatro vulnerabilidades
viernes, 4 de diciembre de 2015

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir cuatro vulnerabilidades, tres de ellas calificadas de impacto moderado y una última de gravedad baja.

openssl-logo

En primer lugar OpenSSL avisa que esta será la última actualización para las ramas 1.0.0 y 0.9.8; a no ser que algún problema significativo antes del 31 de diciembre (fecha de final de soporte) obligue a publicar una actualización de urgencia. Esto podría representar un problema para determinadas aplicaciones corporativas y más concretamente para algunos dispositivos y sistemas empotrados que incluyen estas versiones más antiguas, y para los que las actualizaciones son más raras o complicadas.

El primero de los problemas, de gravedad moderada, reside en una vulnerabilidad (con CVE-2015-3193) en la función BN_mod_exp que puede producir resultados incorrectos en sistemas x86_64. Solo afecta a OpenSSL 1.0.2 y puede explotarse contra los algoritmos RSA, DSA (Digital Signature Algorithm) y Diffie–Hellman (DH). Aunque el ataque puede ser complejo e incluso requerir una cantidad significativa de recursos.

Una vulnerabilidad (de gravedad moderada) de denegación de servicio relacionada con la verificación de firmas de certificados (CVE-2015-3194) y que afecta a las versiones 1.0.2 y 1.0.1. Se ven afectadas cualquier aplicación que realice verificación de certificados, incluyendo clientes y servidores OpenSSL que permitan la autenticación de clientes.

También de gravedad moderada, una fuga de memoria cuando se presenta con una estructura «X509_ATTRIBUTE» (CVE-2015-3195). Se ven afectadas todas las versiones de OpenSSL.

Por último, una vulnerabilidad de gravedad baja que podría dar lugar a una condición de carrera (CVE-2015-3196). Este fallo ya había sido corregido en OpenSSL 1.0.2d y 1.0.1p, aunque no había sido anunciado en un aviso de seguridad. El problema también afecta a OpenSSL 1.0.0, que se actualiza en la nueva versión 1.0.0t.

OpenSSL ha publicado las versiones 1.0.2e, 1.0.1q, 1.0.0t y 0.9.8zh disponibles desde

http://openssl.org/source/

 

Más información:

OpenSSL Security Advisory [3 Dec 2015]

https://www.openssl.org/news/secadv/20151203.txt

 

Antonio Ropero

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, OpenSSL. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *