El proyecto OpenSSL ha publicado un boletín en el que corrige 13 nuevas vulnerabilidades, dos de ellas calificadas de impacto bajo y otras 10 como moderado, pero una está valorada como de gravedad alta. Aunque no todas las versiones de OpenSSL están afectadas por todas las vulnerabilidades.
La vulnerabilidad considerada de gravedad alta (CVE-2015-0291) puede permitir denegaciones de servicio si un cliente se conecta a un servidor de OpenSSL 1.0.2 y renegocia con un algoritmo de firma digital inválido, lo que provoca una referencia a un puntero nulo.
Por otra parte, también se ha recalificado la gravedad de la vulnerabilidad FREAK, que previamente había sido clasificada como de gravedad baja, ahora pasa a considerarse como de gravedad alta. Esto es debido a que se ha comprobado que es mucho más habitual de lo que inicialmente se pensaba.
Con gravedad moderada se han anunciado vulnerabilidades en la funcionalidad «multiblock«, en las rutinas de verificación de firmas si se usa ASN.1 con algoritmo RSA PSS y parámetros inválidos, al reutilizar estructuras en el tratamiento ASN.1, en el tratamiento de PKCS#7, en el tratamiento de datos codificados en base64, al procesar mensajes SSLv2 CLIENT-MASTER-KEY específicamente creados y en las funciones «DTLSv1_listen» y «ASN1_TYPE_cmp«.
OpenSSL ha publicado las versiones 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf disponibles desde
También se recuerda por parte de OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.
Más información:
OpenSSL Security Advisory [19 Mar 2015]
FREAK, un nuevo ataque a SSL/TLS
Antonio Ropero
Twitter: @aropero
🙂 gracias…