lunes, 23 de julio de 2001

Vulnerabilidades en la librería OpenSSL

Las versiones de la librería OpenSSL previas a la 0.9.6b contienen
varias vulnerabilidades importantes.
La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

La versión 0.9.6b de OpenSSL soluciona las siguientes vulnerabilidades:

* El generador de números pseudoaleatorios contiene una vulnerabilidad
que permite a un atacante, bajo ciertas circunstancias, recuperar el
estado interno del generador y, por lo tanto, predecir valores
futuros. Ello puede comprometer, por ejemplo, la generación de
nuevas claves, tanto claves de sesión como claves asimétricas.

* Se introducen contramedidas para detectar ataques contra el PKCS #1
v1.5, detectado por Bleichbacher.

* Solucionados varios problemas en la verificación S/MIME DSA.

Hay que hacer notar que si bien podemos no ser usuarios directos de la
librería, seguramente estaremos utilizando programas que la emplean, de
forma indirecta, por lo que se recomienda la actualización a la versión
0.9.6b o superior de la librería para todos los usuarios de entornos
Unix (Solaris, Linux, *BSD, AIX, etc).



Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenSSL
http://www.openssl.org/

Falla de PRNG en Versiones de OpenSSL Inferiores a 0.9.6a
http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.openSSL-20010710.html