viernes, 27 de enero de 2017

Nuevas versiones de OpenSSL solucionan cuatro vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir cuatro vulnerabilidades, tres calificadas de impacto medio y otra de importancia baja.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

El primer problema, con CVE-2017-3731, afecta a clientes o servidores SSL/TLS en sistemas 32bits cuando se usa un cifrado específico, entonces un paquete truncado puede provocar una lectura fuera de límites en ese servidor o cliente. Para OpenSSL 1.1.0 el fallo afecta cuando se usa CHACHA20/POLY1305; para OpenSSL 1.0.2 el problema se puede explotar con RC4-MD5.

Otra vulnerabilidad de gravedad media, con CVE-2017-3730, afecta a OpenSSL 1.1.0 si un servidor malicioso suministra parámetros incorrectos para un intercambio de claves DHE o ECDHE, puede provocar una desreferencia de puntero nulo en el cliente con la consiguiente caída. Un usuario malicioso podría provocar condiciones de denegación de servicio. 

Otra vulnerabilidad de gravedad media, con CVE-2017-3732, reside en un error de propagación de acarreo en BN_mod_exp() puede permitir obtener determinada información sobre claves privadas en determinadas circunstancias. Se ven afectados sistemas configurados con parámetros DH persistentes y que compartan claves privadas entre múltiples clientes.

Por último, de gravedad baja y con CVE-2016-7055, las multiplicaciones Montgomery pueden producir resultados incorrectos. El problema fue corregido anteriormente en la versión 1.1.0c, por lo que solo afecta a versiones OpenSSL 1.0.2.

OpenSSL ha publicado las versiones 1.1.0d y 1.0.2k disponibles desde

También se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.

Más información:

OpenSSL Security Advisory [26 Jan 2017]



Antonio Ropero
Twitter: @aropero