El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 4 vulnerabilidades en el popular software de cifrado. Tres vulnerabilidades son de severidad moderada y una es de severidad baja.
Las vulnerabilidades de severidad moderada se encuentran en la función BN_mod_exp (CVE-2015-3193) que puede producir resultados incorrectos en sistemas x86_64; en las rutinas de verificación de firma de certificado (CVE-2015-3194) que puede hacer que OpenSSL deje de funcionar; y en una malformada estructura X509_ATTRIBUTE (CVE-2015-3195) que puede ocasionar fuga de memoria.
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2 debe ser actualizado a 1.0.2e
- OpenSSL 1.0.1 debe ser actualizado a 1.0.1q
- OpenSSL 1.0.0 debe ser actualizado a 1.0.0t
- OpenSSL 0.9.8 debe ser actualizado a 0.9.8zh
Las actualizaciones 1.0.0t y 0.9.8zh son las últimas de OpenSSL, toda vez que el soporte para OpenSSL 1.0.0 y 0.9.8 terminará el 31-Dic-2015. Es conveniente que los sitios que usen dichas versiones evalúen la implementación de la actualización a la versión más reciente.