viernes, 17 de febrero de 2017

Denegación de servicio en OpenSSL

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir una vulnerabilidad, calificada de gravedad alta, que podría permitir la realización de ataques de denegación de servicio.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

La vulnerabilidad, con CVE-2017-3733, reside en que si durante una renegociación se encuentra la extensión Encrypt-Then-Mac pero esta no estaba en la negociación original (o viceversa) se puede provocar una denegación de servicio (dependiendo de la suite de cifrado). Se ven afectados tanto clientes como servidores.

OpenSSL ha publicado la versión 1.1.0e disponible desde
No afecta a versiones OpenSSL 1.0.2.

Se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.

Más información:

OpenSSL Security Advisory [16 Feb 2017]
Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario