Desde que salió a la luz la vulnerabilidad conocida como Heartbleed, OpenSSL parece que está bajo la lupa y nuevamente se dan a conocer más problemas que afectan a la popular librería de cifrado. En esta ocasión el proyecto OpenSSL acaba depublicar un boletín advirtiendo de la corrección de nueve nuevas vulnerabilidades, que afectan a las tres principales ramas del proyecto, aunque no son tan graves como las últimas anunciadas.
El primero de los problemas (CVE-2014-3508) reside en OBJ_obj2txt que puede provocar una fuga de información con determinadas funciones de impresión. Un segundo problema (CVE-2014-5139) afecta a clientes OpenSSL 1.0.1 SSL/TLS y podría permitir a un servidor malicioso provocar denegaciones de servicio por una dereferencia de puntero nulo. También se presenta una condición de carrera en ssl_parse_serverhello_tlsext (CVE-2014-3509).
Otras vulnerabilidades de denegación de servicio se deben a una doble liberación de memoria al procesar paquetes DTLS (CVE-2014-3505), por un consumo de grandes cantidades de memoria mientras se procesan mensajes de negociación DTLS(CVE-2014-3506), por una fuga de memoria por el tratamiento de paquetes DTLS con fragmentos de tamaño 0 (CVE-2014-3507) y por una dereferencia de puntero nulo en clientes OpenSSL DTLS con suites de cifrado EC(DH) anónimo (CVE-2014-3510).
Otro problema, se da cuando el mensaje ClientHello está muy fragmentado, lo que puede obligar a servidores OpenSSL 1.0.1 SSL/TLS a negociar TLS 1.0 en vez de versiones del protocolo más modernas (CVE-2014-3511).
Por último, un cliente o servidor malicioso podría enviar parámetros SRP no válidos y sobreescribir un búfer interno. Solo se ven afectadas las aplicaciones configuradas explícitamente para SRP.
Los problemas afectan a las versiones OpenSSL 0.9.8, 1.0.0 y 1.0.1. Se han publicado las versiones OpenSLL 0.9.8zb, 1.0.0n y 1.0.1i que solucionan los problemas descritos y pueden descargarse desde
Más información:
OpenSSL Security Advisory [6 Aug 2014]
una-al-dia (05/06/2014) OpenSSL corrige nuevas vulnerabilidades graves
una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed
Antonio Ropero
Twitter: @aropero
Deja una respuesta