El proyecto OpenSSL ha publicado un Aviso de Seguridad alertando sobre varias vulnerabilidades en la popular herramienta de cifrado para las comunicaciones en Internet.
OpenSSL es una herramienta de cifrado que implementa los protocolos SSL y TLS en las comunicaciones por Internet.
La más severa de las vulnerabilidades es la conocida como Logjam (CVE-2015-4000) y que podria permitir a un atacante de Hombre-En-El-Medio degradar las conexiones TLS vulnerables usando un intercambio de llave Diffie-Hellman para criptografia de nivel de exportación de 512-bit.
Los sistemas cliente de OpenSSL han sido protegidos agregando funcionalidad para el rechazo de parámetros DH menores a 768 bits y que será aumentado a 1024 bits en una futura versión.
OpenSSL es usado principalmente en servidores web con Linux para encriptar la comunicación entre el servidor web y los usuarios.
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2 debe ser actualizado a la versión 1.0.2b.
- OpenSSL 1.0.1 debe ser actualizado a la versión 1.0.1n.
Otros fallos han sido clasificados como de severidad Moderada o Baja, que podrían ocasionar la negación de servicio o corrupción de memoria, entre otros. Se recomienda actualizar las versiones afectadas:
- OpenSSL 0.9.8 debe ser actualizado a la versión 0.9.8zg
- OpenSSL 0.9.8r (y menores) debe ser actualizado a la versión 0.9.8zg
- OpenSSL 1.0.0 debe ser actualizado a la versión 1.0.0s
- OpenSSL 1.0.0d (y menores) debe ser actualizado a la versión 1.0.0s
- OpenSSL 0.9.8 DTLS debe ser actualizado a la versión 0.9.8za
- OpenSSL 1.0.0 DTLS debe ser actualizado a la versión 1.0.0m.
- OpenSSL 1.0.1 DTLS debe ser actualizado a la versión 1.0.1h.
El soporte para OpenSSL 1.0.0 y 0.9.8 terminará el 31-Dic-2015 por lo que es conveniente que los sitios que usen dichas versiones evalúen la implementación de la actualización a la versión más reciente.