El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 8 vulnerabilidades en el popular software de cifrado. Dos vulnerabilidades son de severidad alta y su explotación podría permitir a un atacante remoto obtener información sensible.
Una de las vulnerabilidades corregidas es la conocida como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption, CVE-2016-0800) y puede permitir el descifrado de las sesiones TLS mediante el uso de un servidor compatible con SSLv2 y las suites de cifrado EXPORT.
Con esta actualización OpenSSL ha deshabilitado el protocolo SSLv2 por defecto y eliminado los sistemas de cifrado EXPORT SSLv2. Se recomienda dejar de usar SSLv2.
La otra vulnerabilidad de severidad alta corregida con la actualización de OpenSSL podría permitir ataques de recuperación de llave y permitir una versión más eficiente de DROWN eficaz contra las cibersuites que no son de exportación y sin requerir cómputo significativo. Afecta las versiones de OpenSSL 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y todas las versiones anteriores. Fue reparada en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf, publicado el 19 de de marzo de 2015).
Es recomendable actualizar OpenSSL:
- OpenSSL 1.0.2 debe ser actualizado a 1.0.2g
- OpenSSL 1.0.1 debe ser actualizado a 1.0.1s
Recordar que el soporte para OpenSSL 1.0.0 y 0.9.8 terminó el 31-Dic-2015, por lo que ya no hay actualizaciones de seguridad para tales versiones. El soporte para OpenSSL 1.0.1 terminará el 31-Dic-2016. Es conveniente que los sitios que usen dichas versiones, en particular las ya no soportadas, evalúen la migración a la versión más reciente para evitar problemas de seguridad.