sábado, 30 de septiembre de 2006

Cuatro problemas de seguridad en OpenSSL

Se han descubierto varios problemas de seguridad en OpenSSL. La librería
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL
y TLS, y que es utilizada por multitud de programas, tanto para
implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus
componentes criptográficos individuales (funciones de cifrado y "hash",
generadores de claves, generadores pseudoaleatorios, etc).

OpenSSL sufrió también una grave vulnerabilidad descubierta a principios
de septiembre y que permitía la falsificación de firmas RSA, después de
casi un año (octubre de 2005) sin actualizaciones por problemas de
seguridad, y casi tres (octubre de 2003) sin errores graves. En esta
ocasión los fallos, calificados como de criticidad alta, son:

A la hora de interpretar ciertas estructuras ASN.1 inválidas, no se
maneja adecuadamente una condición de error. Esto termina en un bucle
infinito que consume la memoria del sistema. Se ve afectado cualquier
código que utilice OpenSSL para interpretar datos ASN.1 desde fuentes
no confiables. Esto incluye servidores SSL que activen la autenticación
de clientes y aplicaciones S/MIME. Esto no afecta a versiones anteriores
a la 0.9.7.

Existe un desbordamiento de memoria intermedia en la función
SSL_get_shared_ciphers, utilizada por exim y mysql, por ejemplo. Un
atacante podría enviar datos que harían que la memoria se desbordara.

Existe una posible denegación de servicio en el código de cliente SSLv2.
Si una aplicación cliente utiliza OpenSSL para realizar una conexión
SSLv2 a un servidor especialmente manipulado, este servidor podría hacer
que el cliente dejase de responder.

Por último, ciertos tipos de clave pública pueden tomar demasiado
tiempo de computación. Esto puede ser usado por atacantes para provocar
una denegación de servicio.

Se recomienda actualizar a 0.9.7l o posterior para la rama OpenSSL 0.9.7.
Se recomienda actualizar a 0.9.8d o posterior para la rama OpenSSL 0.9.8.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

New OpenSSL releases are now available to correct four security
issues.
http://www.openssl.org/news/secadv_20060928.txt