Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/07/2015
Nova vulnerabilitat detectada en OpenSSL
Fa uns dies es va informar de l’existència d’una vulnerabilitat en OpenSSL, i finalment s’han publicat tots els detalls, junt amb les versions corregides.La vulnerabilitat detectada consistix en un problema en la verificació de la cadena de certificats que permetria a un atacant sobrepassar controls de seguretat. L’atacant podria utilitzar un certificat vàlid de client com si fóra una autoritat de certificació (CA) per a emetre certificats invàlids, que serien acceptats per la víctima com si foren certificats emesos per una CA lícita.
La fallada afectaria qualsevol aplicació que verifique certificats, així com servidors que utilitzen autenticació de client.
Encara que la vulnerabilitat és greu, en la notícia d’ArsTechnica (en anglés) indiquen que afortunadament el seu abast està limitat pel fet que els navegadors per a equips d’escriptori Chrome, Firefox, Explorer i Safari utilitzen per defecte altres aplicacions per a gestionar la comprovació de certificats SSL. El navegador per defecte en algunes versions d’Android sí que utilitza OpenSSL, però aparentment no utilitzen versions vulnerables.
El problema serien altres aplicacions que utilitzen OpenSSL o parts d’ell per a realitzar la verificació dels certificats.
Este problema va ser reportat el passat 24 de juny per Adam Langley i David Benjamin, del projecte BoringSSL de Google.
Sistemes Afectats:OpenSSL versions 1.0.1n/1.0.1o i 1.0.2b/1.0.2c. Versions de les branques 1.0.0 i 0.9.8 no estan afectades.
Referències:CVE-2015-1793
Solució:Actualitzar OpenSSL a les versions 1.0.1p o 1.0.2d, on s’ha corregit esta vulnerabilitat.
Notes: