OpenSSL soluciona cuatro vulnerabilidades

En primer lugar OpenSSL avisa que esta será la última actualización para las ramas 1.0.0 y 0.9.8; a no ser que algún problema significativo antes del 31 de diciembre (fecha de final de soporte) obligue a publicar una actualización de urgencia. Esto podría representar un problema para determinadas aplicaciones corporativas y más concretamente para algunos dispositivos y sistemas empotrados que incluyen estas versiones más antiguas, y para los que las actualizaciones son más raras o complicadas.

El primero de los problemas, de gravedad moderada, reside en una vulnerabilidad (con CVE-2015-3193) en la función BN_mod_exp que puede producir resultados incorrectos en sistemas x86_64. Solo afecta a OpenSSL 1.0.2 y puede explotarse contra los algoritmos RSA, DSA (Digital Signature Algorithm) y Diffie–Hellman (DH). Aunque el ataque puede ser complejo e incluso requerir una cantidad significativa de recursos.

Una vulnerabilidad (de gravedad moderada) de denegación de servicio relacionada con la verificación de firmas de certificados (CVE-2015-3194) y que afecta a las versiones 1.0.2 y 1.0.1. Se ven afectadas cualquier aplicación que realice verificación de certificados, incluyendo clientes y servidores OpenSSL que permitan la autenticación de clientes.

También de gravedad moderada, una fuga de memoria cuando se presenta con una estructura “X509_ATTRIBUTE” (CVE-2015-3195). Se ven afectadas todas las versiones de OpenSSL.

Por último, una vulnerabilidad de gravedad baja que podría dar lugar a una condición de carrera (CVE-2015-3196). Este fallo ya había sido corregido en OpenSSL 1.0.2d y 1.0.1p, aunque no había sido anunciado en un aviso de seguridad. El problema también afecta a OpenSSL 1.0.0, que se actualiza en la nueva versión 1.0.0t

OpenSSL ha publicado las versiones 1.0.2e, 1.0.1q, 1.0.0t y 0.9.8zhdisponibles desde

http://openssl.org/source/

  

Antonio Ropero

Twitter: @aropero