El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 6 vulnerabilidades en el popular software de cifrado. Dos vulnerabilidades son de severidad alta, afectando a configuraciones menos comunes o que son menos propensas de ser explotables.
Una de las vulnerabilidades de severidad alta, la CVE-2016-2108, tiene que ver con un problema de codificación ASN.1 que un atacante podría aprovechar para desencadenar una escritura fuera de los límites causando daños en la memoria. El fallo de seguridad podría ser explotable en algunas implementaciones de malloc para la asignación dinámica de memoria. Las aplicaciones que analizan y recodifican certificados X509 son vulnerables. Las aplicaciones que verifican las firmas RSA en los certificados X509 también pueden ser vulnerables.
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2 debe ser actualizado a 1.0.2c
- OpenSSL 1.0.1 debe ser actualizado a 1.0.1o
La otra vulnerabilidad de severidad alta corregida, la CVE-2016-2107, tiene que ver cuando la conexión utiliza un cifrado AES CBC y el soporte de servidor AES -NI. Un atacante Man-In-The-Middle podría aprovechar la sesión para descifrar el tráfico.
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2 debe ser actualizado a 1.0.2h
- OpenSSL 1.0.1 debe ser actualizado a 1.0.1t
Recordar que el soporte para OpenSSL 1.0.0 y 0.9.8 terminó el 31-Dic-2015, por lo que ya no hay actualizaciones de seguridad para tales versiones. El soporte para OpenSSL 1.0.1 terminará el 31-Dic-2016. Es conveniente que los sitios que usen dichas versiones, en particular las ya no soportadas, evalúen la migración a la versión más reciente para evitar problemas de seguridad.