El proyecto OpenSSL ha publicado un Aviso de Seguridad alertando sobre una vulnerabilidad crítica en OpenSSL que permite la falsificación de cadenas alternativas de certificados (CVE-2015-1793).
El problema afectará a cualquier aplicación que verifica certificados incluidos sistemas cliente SSL/TLS/DTLS y sistemas servidor SSL/TLS/DTLS que usan autenticación en el sistema cliente. La vulnerabilidad afecta a las versiones de OpenSSL 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o.
Durante la verificación de certificados, OpenSSL (a partir de la versión 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa si falla el primer intento de construir la cadena de certificados. Un atacante podría evitar la anulación de ciertas verificaciones de certificados no confiables, como la bandera CA. El problema podría permitir el uso de una extensión válida del certificado para actuar como CA y “emitir” un certificado no válido pero que sea aceptado como confiable.
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2b/1.0.2c debe ser actualizado a la versión 1.0.2d.
- OpenSSL 1.0.1n/1.0.1o debe ser actualizado a la versión 1.0.1p.
El soporte para OpenSSL 1.0.0 y 0.9.8 terminará el 31-Dic-2015 por lo que es conveniente que los sitios que usen dichas versiones evalúen la implementación de la actualización a la versión más reciente.