El proyecto OpenSSL se ha visto envuelto en muchos problemas relacionados con la seguridad de su librería en los últimos tiempos. Uno de los fallos de seguridad críticos que descubrieron en OpenSSL fue Heartbleed, de hecho, este fallo ha marcado un antes y un después en la seguridad de Internet, como por ejemplo en el nacimiento de alternativas a OpenSSL que sean más seguras o en una profunda auditoría de seguridad a la librería.
Ahora los desarrolladores de OpenSSL han actualizado su política interna de seguridad para incluir un nivel de gravedad «crítico», que tendrá mayor prioridad sobre el nivel más alto hasta ahora, que era el nivel «alto». Esta nueva distinción en el nivel de gravedad se utilizará para etiquetar las vulnerabilidades que afectan a casos de uso común de OpenSSL, además también se incorporarán todas las vulnerabilidades con alta probabilidad de ser explotables.
Artículo recomendado:
Según OpenSSL, la divulgación significativa de los contenidos de la memoria del servidor (como ocurrió con la vulnerabilidad Heartbleed), o las vulnerabilidades que pueden ser fácilmente explotadas de forma remota para comprometer las claves privadas del servidor se considerarán críticas. Asimismo también estará en este nivel crítico los fallos de seguridad que permitirían la ejecución remota de código en situaciones comunes.
Artículos recomendados:
Sin embargo, en el nivel crítico no estarán los ataques de canales laterales locales, o fallos de seguridad teóricos ni tampoco los difíciles de explotar, este tipo de fallos seguirán estando en el nivel de seguridad «alto». Según los responsables del proyecto OpenSSL, el anterior nivel de calificación «alto» era demasiado general, y era necesario crear un nuevo nivel para adaptarse a los nuevos tiempos, el anterior nivel cubría temas desde la denegación de servicio a la ejecución remota de código.
Además de dar mayor prioridad a los fallos de seguridad críticos, este nuevo nivel también se ha creado de cara a los administradores de sistemas y responsables de seguridad lógica de las organizaciones, ya que ahora deberán priorizar los parches que contengan la solución a estos fallos.
Os recomendamos visitar todas nuestras noticias sobre OpenSSL en este enlace, asimismo os recomendamos visitar nuestra sección de redes y de seguridad informática donde encontraréis manuales de configuración para sacar el máximo partido a tu red y a securizarla correctamente.