De Hispasec – Una al Día: OpenSSL soluciona dos vulnerabilidades (28/01/2016)

Saludos nuevamente.

Ayer OpenSSL publicó nuevas versiones de su software insignia. La noticia a continuación:

OpenSSL soluciona dos vulnerabilidades
jueves, 28 de enero de 2016

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir dos vulnerabilidades, una calificada de impacto alto y otra de gravedad baja.

openssl-logo

El primero de los problemas, de gravedad alta, reside en una vulnerabilidad (con CVE-2016-0701) en OpenSSL 1.0.2 por la generación de números primos considerados inseguros. Históricamente OpenSSL sólo ha generado parámetros Diffie–Hellman (DH) en base a los números primos “seguros“. En la versión 1.0.2 se proporcionó soporte para la generación de archivos de parámetros de estilo X9.42 tal como se requería para soportar el RFC 5114. Sin embargo los números primos utilizados en este tipo de archivos puede que no sean “seguros“. Un atacante podría utilizar este problema para descubrir el exponente privado DH de un servidor TLS si se está reutilizando o se usa un conjunto de cifrado DH estático.

Por otra parte, con CVE-2015-3197 y gravedad baja, una vulnerabilidad que podría permitir a un cliente malicioso negociar cifrados SSLv2 desactivados en el servidor y completar negociaciones SSLv2 incluso aunque todos los cifrados SSLv2 hayan sido desactivados. La única condición es que el protocolo SSLv2 no haya sido también desactivado a través de SSL_OP_NO_SSLv2. Este problema afecta a OpenSSL versiones 1.0.2 y 1.0.1.

También se incluye una actualización referente a la ya conocida logjam (de la que ya hablamos en una-al-día) de junio del pasado año y ya solucionada. Recordamos que reside en una vulnerabilidad (con CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de “hombre en el medio” degradar la seguridad de las conexiones TLS a 512 bits. En su momento OpenSSL corrigió Logjam en las versiones 1.0.2b y 1.0.1n rechazando conexiones menores de 768 bits. En la actualidad este límite se ha incrementado a 1024 bits.

OpenSSL ha publicado las versiones 1.0.2f y 1.0.1r disponibles desde

http://openssl.org/source/

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.

 

Más información:

OpenSSL Security Advisory [28th Jan 2016]

http://openssl.org/news/secadv/20160128.txt

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes

http://unaaldia.hispasec.com/2015/05/logjam-el-hacedor-de-llaves-en-el-reino.html

 

Antonio Ropero

Twitter:@aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, OpenSSL. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *