A principios de semana el equipo de desarrollo de OpenSSL anunció que se encontraban actualizando la herramienta para solucionar una vulnerabilidad crítica que podía comprometer la seguridad de los usuarios, aunque no se facilitó mucha más información al respecto. Ayer finalmente se publicó el nuevo parche de seguridad y con él toda la información sobre la vulnerabilidad que tan en secreto habían guardado.
Este fallo de seguridad sólo afectaba a las versiones 1.0.1 y 1.0.2 de la herramienta, que ahora mismo se han actualizado a las versiones 1.0.1p y 1.0.2d respectivamente.
El fallo de seguridad ha sido catalogado bajo el número «CVE-2015-1793» y está relacionada directamente con el proceso de verificación de certificados. Si durante el proceso de verificación este genera un error las versiones vulnerables de OpenSSL intentaban buscar un certificado alternativo para poder establecer la conexión. La vulnerabilidad solucionada permitía que un usuario no autorizado pudiera saltarse ciertas comprobaciones a la hora de seleccionar el certificado, generar certificados falsos utilizando la CA y hacer que OpenSSL se conectara a estos como si fueran certificados correctos y fiables.
Tanto clientes como servidores SSL, TLS y DTLS se han visto afectados por esta vulnerabilidad. Es recomendable actualizar los módulos de OpenSSL lo antes posible, especialmente si se utilizan las versiones 1.0.1 y 1.0.2, para evitar que piratas informáticos puedan aprovecharse de este fallo de seguridad.
Esta vulnerabilidad sólo puede explotarse mediante ataques MITM desde una posición privilegiada en la red. Esto hace que la vulnerabilidad sólo sea útil en ataques dirigidos contra una persona concreta y no contra ataques globales o genéricos. El atacante debe estar situado entre el cliente y el servidor para interceptar y modificar las conexiones. Para ello podría hacerse pasar fácilmente por un servidor DNS o un router de manera que todo el tráfico pasara a través de él.
Las versiones anteriores a la 1.0.1 no están afectadas por esta vulnerabilidad, al igual que tampoco lo están otras alternativas como LibreSSL, BoringSSL ni otras bibliotecas SSL/TLS. Aquellos usuarios que necesiten actualizar las librerías pueden descargar la versión más reciente o el código fuente desde la web principal de la herramienta.
¿Has actualizado ya tus librerías OpenSSL para protegerte de esta vulnerabilidad?