El proyecto OpenSSL ha publicado la actualización de la popular herramienta de cifrado que implementa los protocolos SSL y TLS en las comunicaciones por Internet.
OpenSSL es la biblioteca de cifrado usada principalmente en servidores web con Linux para encriptar la comunicación entre el servidor web y los usuarios.
Con la actualización OpenSSL corrige 8 vulnerabilidades, dos de ellas clasificadas como de severidad Moderada que podrían ser utilizadas en ataques de negación de servicio. Las vulnerabilidades restantes han sido clasificadas como de severidad Baja.
Las vulnerabilidades corregidas afectan a todas las versiones actuales de OpenSSL, por lo que se recomienda su actualización.
- OpenSSL 1.0.1 DTLS debe ser actualizado a la versión 1.0.1k.
- OpenSSL 1.0.0 DTLS debe ser actualizado a la versión 1.0.0p.
- OpenSSL 0.9.8 DTLS debe ser actualizado a la versión 0.9.8zd.
Los fallos clasificados como de severidad Moderada se refieren a la pérdida de memoria y de segmentación DTLS.
Entre las vulnerabilidades de baja severidad una puede ocasionar la eliminación de secrecía hacia adelante, y otra podría permitir la autenticación a servidores sin el uso de llaves privadas.
Es recomendable actualizar OpenSSL. Por cierto el soporte para OpenSSL 1.0.0 y 0.9.8 terminará el último día de este año por lo que es conveniente que los sitios que usen dichas versiones evalúen la implementación de la actualización a la versión más reciente.