El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.7 y
0.9.8 de su librería SSL, que solucionan una vulnerabilidad que puede
ser aprovechada para eludir ciertas restricciones de seguridad
falsificando firmas RSA.
La librería OpenSSL es un desarrollo «Open Source» que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y «hash», generadores de claves, generadores pseudoaleatorios,
etc).
El fallo está causado por un error de verificación de firmas. Se podría
falsificar una firma PKCS #1 v1.5 firmada por una clave RSA de exponente
3. Se validaría incorrectamente un certificado al no controlar
correctamente los datos extra de la firma RSA. Existen numerosas
Autoridades Certificadoras usando exponente 3. También PKCS #1 v1.5 es
usado en certificados x.509, por lo que todo software que valide
certificados en este formato es potencialmente vulnerable.
El fallo se ha confirmado en las versiones 0.9.7j y 0.9.8b aunque otras
podrían verse afectadas.
Para solventar el error, es posible descargar nuevas versiones:
Para la rama OpenSSL 0.9.7:
Actualizar a 0.9.7k o posterior.
Para la rama OpenSSL 0.9.8:
Actualizar a 0.9.8c o posterior.
Disponibles desde:
http://www.openssl.org/source/ o ftp://ftp.openssl.org/source/
También se ha hecho público un parche para quienes no deseen actualizar
el programa: http://www.openssl.org/news/patch-CVE-2006-4339.txt
laboratorio@hispasec.com
Más información:
RSA Signature Forgery
http://www.openssl.org/news/secadv_20060905.txt
Deja un comentario