El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 2 vulnerabilidades en el popular software de cifrado. Además actualiza la protección contra la vulnerabilidad Logjam.
Una de las vulnerabilidades corregidas es la CVE-2016-0701, considerada como de severidad Alta y afecta sólo a OpenSSL 1.0.2. La vulnerabilidad tiene que ver con la generación de archivos de parámetros DH (Diffie-Hellman) de estilo X9.42 y en los que los números primos utilizados pueden no estar “seguros”. Un atacante podría utilizar esto para encontrar el exponente DH privado y usarlo para descifrar las comunicaciones.
La vulnerabilidad Logjam (CVE-2015-4000) en el protocolo TLS permite que un atacante de Hombre-En-El-Medio rebaje las conexiones vulnerables TLS usando intercambio de llaves de cifrado DH de 512 bits. Esta vulnerabilidad ha sido mitigada en OpenSSL rechazando parámetros DH menores a 768 bits en OpenSSL 1.0.2b y 1.0.1n. Con la nueva actualización este límite ha sido aumentado a 1024 bits.
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2 debe ser actualizado a 1.0.2f
- OpenSSL 1.0.1 debe ser actualizado a 1.0.1r
Recordar que el soporte para OpenSSL 1.0.0 y 0.9.8 terminó el 31-Dic-2015, por lo que ya no hay actualizaciones de seguridad para tales versiones. El soporte para OpenSSL 1.0.1 terminará el 31-Dic-2016. Es conveniente que los sitios que usen dichas versiones, en particular las ya no soportadas, evalúen la migración a la versión más reciente para evitar problemas de seguridad.