Hace algunas horas los desarrolladores de la herramienta OpenSSL han publicado una nueva versión de su software que soluciona varias vulnerabilidades críticas en las 4 últimas ramas de OpenSSL, entre ellas FREAK. A continuación os vamos a resumir los principales errores, fallos y vulnerabilidades solucionados con las nuevas revisiones de este software que nos permite conectarnos de forma «segura» a diferentes servidores.
Según INCIBE, esta actualización ha sido catalogada como «crítica» con una importancia de 5 sobre 5. Todas las revisiones de OpenSSL desde la versión 0.9.8 hasta la 1.0.2 han recibido sus correspondientes parches que, aunque sólo dos son críticos es que aconsejable actualizar la herramienta lo antes posibles para evitar posibles disgustos a la hora de establecer conexiones cliente-servidor.
Vulnerabilidades críticas corregidas en las nuevas versiones de OpenSSL
CVE-2015-0291. En la versión 1.0.2 se ha solucionado una vulnerabilidad que permitía a un atacante realizar ataques de denegación de servicio haciendo referencia a un puntero nulo.
Excepto la versión 1.0.2, las 3 restantes (0.9.8, 1.0.0 y 1.0.1) eran vulnerables a FREAK (vulnerabilidad catalogada bajo el nombre CVE-2015-0204), uno de los peores fallos de seguridad de este 2015. Con estos nuevos parches publicados para todas las versiones de OpenSSL, estas ya permanecen seguras frente a esta vulnerabilidad y garantiza una cierta capa de seguridad tanto para usuarios como para administradores de sistemas.
Vulnerabilidades de peligrosidad media de OpenSSL
CVE-2015-0290, CVE-2015-020. Se han solucionado estos dos fallos en la versión 1.0.2 que podían permitir una violación de segmento al hacer mal uso de algunas funciones.
CVE-2015-0286. Las 4 versiones han solucionado un fallo de violación de segmento que podría llegar a dar lugar a ataques de denegación de servicio.
CVE-2015-0208. Se ha corregido un puntero nulo en la versión 1.0.2 utilizado para explotar y causar ataques DoS.
CVE-2015-0207. Solucionado un fallo en las 4 versiones de corrupción de memoria al procesar ciertos datos.
CVE-2015-0289. Corregida una referencia de puntero nula que podía causar fallos al procesar ciertas estructuras de datos.
CVE-2015-0292. Un fallo en 1.0.1, 1.0.0 y 0.9.8 al codificar información en base64 podía causar una violación de segmento o corrupción de memoria.
CVE-2015-0293. Un fallo presente en las 4 versiones actualizadas que podía causar un cierre inesperado de la herramienta en servidores que utilizaran SSLv2.
CVE-2015-1787. Un fallo de denegación de servicio en 1.0.2 al intercambiar claves DHE y enviar de vuelta un mensaje de intercambio de claves con longitud cero.
Vulnerabilidades de peligrosidad mínima en OpenSSL
CVE-2015-0285. En 1.0.2 se ha solucionado un problema que permitía generar secuencias aleatorias predecibles.
CVE-2015-0209. Las 4 versiones actualizadas han solucionado una vulnerabilidad que podía permitir a un atacante provocar corrupción de memoria o ataques de denegación de servicio.
Es de vital importancia que tanto los clientes como los servidores actualicen este software lo antes posible para evitar que los piratas informáticos puedan aprovecharse de las vulnerabilidades del software desactualizado y encontrar posibles víctimas a las que atacar a través de las conexiones SSL.
¿Qué opinas de las nuevas revisiones publicadas sobre OpenSSL? ¿Crees que las conexiones de Internet vuelven a ser un poco más seguras?