De LinuxSC: OpenSSL descontinuará soporte para versiones obsoletas el 31 de diciembre (07/12/2015)

Publicado el 09/12/2015 por Hector Suarez Planas

Saludos nuevamente.

Hace unos minutos estuve leyendo esta noticia en el sitio de LinuxSC. De más está decir la importancia que tiene el upgradear a las nuevas versiones que en lo adelante soportará el proyecto OpenSSL:

OpenSSL descontinuará soporte para versiones obsoletas el 31 de diciembre
Escrito por Domingo Varela el 07 Diciembre 2015.

El proyecto OpenSSL publicó la semana pasada nuevos parches de seguridad para su herramienta de cifrado homónima. El software elimina varias vulnerabilidades de nivel moderado.

Paralelamente, la entidad confirmó que ésta será la última actualización para las versiones 0.9.8 y 1.0.0. El anuncio inicial fue hecho hace un año, cuando se informó que el soporte para ambas versiones sería descontinuado a partir del 31 de diciembre de 2015. En concreto, lo anterior implica que las vulnerabilidades descubiertas con posterioridad a esa fecha no serán eliminadas para el caso de estas versiones.

Cabe señalar que,  en realidad, es una advertencia matizada. En efecto, si ambas versiones son  incorporadas, por ejemplo, en distribuciones de Linux que cuentan con soporte activo, es probable que los parches de seguridad sean implementados en las versiones de OpenSSL que acompañan a estas distribuciones. En tal caso, esta actualización estaría a cargo  de la organización responsable de la distribución, y no del proyecto OpenSSL en sí.

Alternativas

Para el caso de todos los demás usuarios afectados, una actualización a OpenSSL 1.0.1 solo constituye una solución temporal. Esto se debe a que el proyecto OpenSSL sólo ofrecerá soporte para la versión OpenSSL 1.0.1 hasta el 31 de diciembre de 2016.

Una solución de largo plazo es utilizar OpenSSL 1.0.2, que contará con soporte hasta el 31 de diciembre de 2019. Esta versión es denominada LTS (Long Term Support) que, como su nombre en inglés lo indica, estará respaldada a largo plazo.

El proyecto OpenSSL también prepara una actualización de mayor envergadura, anunciada para el 28 de abril de 2016. Esta versión contará con soporte durante dos años, y es poco probable que sea distribuida como LTS.

Durante un prolongado período de 2014, OpenSSL se vio afectada por grandes problemas de seguridad (ver artículos de referencia sobre Heartbleed), que se vieron en parte solucionados cuando la entidad recibió recursos económicos para su gestión. Los problemas en sí motivaron además la creación de soluciones alternativas, basadas en parte en el mismo código fuente, como por ejemplo BoringSSL de Google.

Fuente: Diarioti

 

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, OpenSSL. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *