El
proyecto OpenSSL ha publicado
un boletín en el que corrige 13 nuevas
vulnerabilidades, dos de ellas calificadas de impacto bajo y otras 10 como moderado,
pero una está valorada como de gravedad
alta. Aunque no todas las versiones de OpenSSL están afectadas por todas
las vulnerabilidades.
La vulnerabilidad considerada de gravedad
alta (CVE-2015-0291) puede permitir denegaciones de servicio si un cliente
se conecta a un servidor de OpenSSL 1.0.2 y renegocia con un algoritmo de firma
digital inválido, lo que provoca una referencia a un puntero nulo.
Por otra parte, también se ha
recalificado la gravedad de la vulnerabilidad FREAK,
que previamente había sido clasificada como de gravedad baja, ahora pasa a
considerarse como de gravedad alta. Esto es debido a que se ha comprobado que
es mucho más habitual de lo que inicialmente se pensaba.
Con gravedad moderada se han
anunciado vulnerabilidades en la funcionalidad "multiblock", en las rutinas de verificación de firmas si se
usa ASN.1 con algoritmo RSA PSS y parámetros inválidos, al reutilizar estructuras
en el tratamiento ASN.1, en el tratamiento de PKCS#7, en el tratamiento de
datos codificados en base64, al procesar mensajes SSLv2 CLIENT-MASTER-KEY
específicamente creados y en las funciones "DTLSv1_listen" y "ASN1_TYPE_cmp".
OpenSSL ha publicado las
versiones 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf disponibles desde
También se recuerda por parte de
OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.
Más información:
OpenSSL Security Advisory [19 Mar
2015]
FREAK, un nuevo ataque a SSL/TLS
Antonio Ropero
Twitter: @aropero
