Un atacante podría descifrar las comunicaciones cifradas con SSL/TLS.
El Proyecto OpenSSL ha publicado siete correcciones de seguridad que afectan a la implementación de los protocolos SSL (Secure Sockets Layer), TLS (Transport Layer Security) y DTLS (Datagram Transport Layer Security).
La vulnerabilidad más seria (CVE-2014-0224) podría permitir la realización de ataques de Hombre-En-El-Medio (MitM), que es cuando el atacante intercepta las conexiones entre los sistema cliente y servidor objetivos. El atacante intercepta los datos cifrados e intenta descifrarlos forzando a los sistemas cliente SSL a usar llaves débiles expuestas al atacante.
Esta vulnerabilidad existe desde la primera versión de OpenSSL y puede ser explotada sólo si las versiones para los sistemas cliente y servidor son vulnerables. Los sistemas cliente OpenSSL son vulnerables en todas sus versiones, no así los sistemas servidor que sólo son vulnerables las versiones 1.0.1 (y 1.0.2-beta1).
Otra vulnerabilidad seria se encuentra en el manejo de fragmentos DTLS que podría ocasionar el desbordamiento de memoria y permitir la ejecución remota de código en los sistemas cliente o servidor de OpenSSL DTLS. Ha sido catalogada como CVE-2014-0195.
Las actualizaciones a OpenSSL ocurren en menos de un mes de la actualización de la vulnerabilidad en la funcionalidad Heartbleed de TLS/DTLS que puede permitir a un atacante robar la información cifrada con SSL/TLS.