CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/07/2015

Nueva vulnerabilidad detectada en OpenSSL

Hace unos días se informó de la existencia de una vulnerabilidad en OpenSSL, y finalmente se han publicado todos los detalles, junto con las versiones corregidas.

Riesgo: Alto

La vulnerabilidad detectada consiste en un problema en la verificación de la cadena de certificados que permitiría a un atacante sobrepasar controles de seguridad. El atacante podría utilizar un certificado válido de cliente como si fuera una autoridad de certificación (CA) para emitir certificados inválidos, que serían aceptados por la víctima como si fueran certificados emitidos por una CA lícita.

El fallo afectaría a cualquier aplicación que verifique certificados, así como a servidores que utilicen autenticación de cliente.

Aunque la vulnerabilidad es grave, en la noticia de ArsTechnica (en inglés) indican que afortunadamente su alcance está limitado por el hecho de que los navegadores para equipos de escritorio Chrome, Firefox, Explorer y Safari utilizan por defecto otras aplicaciones para gestionar la comprobación de certificados SSL. El navegador por defecto en algunas versiones de Android si que utiliza OpenSSL, pero aparentemente no utilizan versiones vulnerables.

El problema serían otras aplicaciones que utilicen OpenSSL o partes de él para realizar la verificación de los certificados.

Este problema fue reportado el pasado 24 de junio por Adam Langley y David Benjamin, del proyecto BoringSSL de Google.

Más información.

Sistemas Afectados:

OpenSSL versiones 1.0.1n/1.0.1o y 1.0.2b/1.0.2c. Versiones de las ramas 1.0.0 y 0.9.8 no están afectadas.

Referencias:

CVE-2015-1793

Solución:

Actualizar OpenSSL a las versiones 1.0.1p o 1.0.2d, donde se ha corregido esta vulnerabilidad.

Notas:

OpenSSL Security Advisory

Fuente: Segu-Info

CSIRT-CV