OpenSSL corrige dos fallos críticos de seguridad

El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 6 vulnerabilidades en el popular software de cifrado. Dos vulnerabilidades son de severidad alta, afectando a configuraciones menos comunes o que son menos propensas de ser explotables. Una de las vulnerabilidades de severidad alta, la CVE-2016-2108, tiene que ver con un problema de codificación ASN.1 que un atacante podría aprovechar para desencadenar una escritura fuera de los límites causando daños en la memoria. El fallo de seguridad podría ser explotable en algunas implementaciones de malloc para la asignación dinámica de memoria. Las aplicaciones que analizan y recodifican certificados X509 son vulnerables. Las aplicaciones que verifican las Leer más…

OpenSSL corrige dos fallos de seguridad DROWN

El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 8 vulnerabilidades en el popular software de cifrado. Dos vulnerabilidades son de severidad alta y su explotación podría permitir a un atacante remoto obtener información sensible. Una de las vulnerabilidades corregidas es la conocida como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption, CVE-2016-0800) y puede permitir el descifrado de las sesiones TLS mediante el uso de un servidor compatible con SSLv2 y las suites de cifrado EXPORT. Con esta actualización OpenSSL ha deshabilitado el protocolo SSLv2 por defecto y eliminado los sistemas de cifrado EXPORT SSLv2. Se recomienda dejar de usar SSLv2. La otra Leer más…

Actualización de OpenSSL

El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 2 vulnerabilidades en el popular software de cifrado. Además actualiza la protección contra la vulnerabilidad Logjam. Una de las vulnerabilidades corregidas es la CVE-2016-0701, considerada como de severidad Alta y afecta sólo a OpenSSL 1.0.2. La vulnerabilidad tiene que ver con la generación de archivos de parámetros DH (Diffie-Hellman) de estilo X9.42 y en los que los números primos utilizados pueden no estar “seguros”. Un atacante podría utilizar esto para encontrar el exponente DH privado y usarlo para descifrar las comunicaciones. La vulnerabilidad Logjam (CVE-2015-4000) en el protocolo TLS permite que un atacante de Hombre-En-El-Medio rebaje Leer más…

Actualización de OpenSSL

El proyecto OpenSSL ha publicado nuevas versiones de OpenSSL que corrigen 4 vulnerabilidades en el popular software de cifrado. Tres vulnerabilidades son de severidad moderada y una es de severidad baja. Las vulnerabilidades de severidad moderada se encuentran en la función BN_mod_exp  (CVE-2015-3193) que puede producir resultados incorrectos en sistemas x86_64; en las rutinas de verificación de firma de certificado (CVE-2015-3194) que puede hacer que OpenSSL deje de funcionar; y en una malformada estructura X509_ATTRIBUTE (CVE-2015-3195) que puede ocasionar fuga de memoria. Es recomendable actualizar OpenSSL: OpenSSL 1.0.2 debe ser actualizado a 1.0.2e OpenSSL 1.0.1 debe ser actualizado a 1.0.1q OpenSSL 1.0.0 debe ser actualizado a 1.0.0t OpenSSL Leer más…

Actualización de OpenSSL corrige fallo en verificación de certificado

El proyecto OpenSSL ha publicado un Aviso de Seguridad alertando sobre una vulnerabilidad crítica en OpenSSL que permite la falsificación de cadenas alternativas de certificados (CVE-2015-1793). El problema afectará a cualquier aplicación que verifica certificados incluidos sistemas cliente SSL/TLS/DTLS y sistemas servidor SSL/TLS/DTLS que usan autenticación en el sistema cliente. La vulnerabilidad afecta a las versiones de OpenSSL 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o. Durante la verificación de certificados, OpenSSL (a partir de la versión 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa si falla el primer intento de construir la cadena de certificados. Un atacante podría evitar la anulación de ciertas verificaciones de certificados no Leer más…

Actualización de OpenSSL

El proyecto OpenSSL ha publicado un Aviso de Seguridad alertando sobre varias vulnerabilidades en la popular herramienta de cifrado para las comunicaciones en Internet. OpenSSL es una herramienta de cifrado que implementa los protocolos SSL y TLS en las comunicaciones por Internet. La más severa de las vulnerabilidades es la conocida como Logjam (CVE-2015-4000) y que podria permitir a un atacante de Hombre-En-El-Medio degradar las conexiones TLS vulnerables usando un intercambio de llave Diffie-Hellman para criptografia de nivel de exportación de 512-bit. Los sistemas cliente de OpenSSL han sido protegidos agregando funcionalidad para el rechazo de parámetros DH menores a 768 bits y que será aumentado a Leer más…

Las 30 vulnerabilidades explotadas más comunes

El CERT de los EEUU ha publicado una alerta con información de las 30 vulnerabilidades explotadas más comunes utilizadas en ataques cibernéticos. La alerta publica también recomendaciones de prevención y mitigación. De acuerdo con el CERT los atacantes siguen explotando software que no ha sido actualizado con los parches de seguridad publicados por los fabricantes. Se aprovechan de las vulnerabilidades conocidas para realizar ataques a la infraestructura crítica de las organizaciones. La alerta está basada en el análisis hecho CCIRC (Canadian Cyber Incident Response Centre) y desarrollado en colaboración con organizaciones de respuesta a incidentes de seguridad de Canadá, Nueva Zelanda, Reino Leer más…

Actualización de OpenSSL

El proyecto OpenSSL ha publicado la actualización de la popular herramienta de cifrado que implementa los protocolos SSL y TLS en las comunicaciones por Internet. OpenSSL es la biblioteca de cifrado usada principalmente en servidores web con Linux para encriptar la comunicación entre el servidor web y los usuarios. Con la actualización OpenSSL corrige 8 vulnerabilidades, dos de ellas clasificadas como de severidad Moderada que podrían ser utilizadas en ataques de negación de servicio. Las vulnerabilidades restantes han sido clasificadas como de severidad Baja. Las vulnerabilidades corregidas afectan a todas las versiones actuales de OpenSSL, por lo que se recomienda Leer más…