Actualizan OpenSSL para solucionar una vulnerabilidad crítica

Escrito por Rubén Velasco
Redes

Los desarrolladores de OpenSSL no descansan. Desde hace ya varios meses están apareciendo numerosas vulnerabilidades en este software de conexiones seguras que comprometen seriamente la seguridad de los usuarios. Todo empezó con Heartbleed, un fallo de seguridad que expuso a prácticamente todos los servidores de todo el mundo, y tras él han aparecido nuevos fallos de seguridad como Logjam, vulnerabilidades en el cifrado y la posibilidad de realizar ataques DDoS a través de estas librerías.

Hace menos de un mes que la comunidad de desarrolladores de OpenSSL publicó una serie de boletines que solucionaban varios fallos de seguridad en estas librerías actualizándose a 1.0.2b, 1.0.1n, 1.0.0s y 0.9.8zg. En esta ocasión esta librería vuelve a dar que hablar cuando los responsables de su desarrollo han anunciado la disponibilidad de una nueva versión en la que se soluciona un fallo de seguridad muy importante.

Por el momento no se ha publicado mucho más información respecto a la vulnerabilidad que va a ser solucionada para evitar que los piratas informáticos puedan empezar a explotarla antes del parche. Lo que sí es recomendable es actualizar la librería a la versión más reciente tan pronto como esta se encuentre disponible para evitar caer en manos de usuarios malintencionados.

El lanzamiento de las nuevas versiones está previsto para este jueves día 9 de julio y sólo afecta a las versiones 1.0.1 y 1.02, quedando 1.0.0 y anteriores protegidas.

openssl_main

Las grandes organizaciones buscan alternativas seguras a OpenSSL

Como ya hemos dicho en otras ocasiones grandes compañías han desarrollado alternativas a estas librerías. La última en crear su propia librería ha sido Amazon con S2N, una librería de tan sólo 6.000 líneas de código. Google, por su lado, también ha creado su propia librería TLS llamada BoringSSL como alternativa a OpenSSL.

Esto se debe a que OpenSSL cuenta con más de 500.000 líneas de código lo que hace que sea muy complicado auditar todo el código para asegurarse de que todo funciona correctamente y no existen vulnerabilidades. Tantas líneas permiten que la librería sea compatible con prácticamente cualquier protocolo o servicio donde queramos implementar las conexiones seguras, sin embargo eso también supone un mantenimiento más complicado, un peor rendimiento y, como estamos viendo, un mayor riesgo potencial ante ataques informáticos.

¿Crees que OpenSSL se convertirá en una librería segura y libre de vulnerabilidades en alguna ocasión o que poco a poco debemos ir pensando en utilizar otra alternativa como la de Google o la de Amazon?

Quizá te interese:

Fuente > SecurityWeek


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10