LibreSSL es una de las versiones derivadas de OpenSSL desarrolladas tras la serie de vulnerabilidades críticas detectadas en esta librería. Esta nueva librería pretendía ser mucho más segura y robusta que su predecesora, así como tener un mantenimiento a la altura que permitiera proteger lo mejor posible las conexiones seguras entre clientes y servidores. Estas librerías, al igual que OpenSSL, son de código abierto y garantizan la seguridad y el anonimato de las conexiones frente a las alternativas de código cerrado.
Un grupo de investigadores de seguridad que estudiaban la seguridad de la plataforma OpenSMTPD han descubierto, por error, un fallo de seguridad que afecta a todas las versiones de LibreSSL, incluida la más reciente. Este fallo de seguridad permite una fuga de memoria en los sistemas afectados, lo que puede llegar a facilitar al pirata informático las claves secretas utilizadas durante las conexiones.
Mientras los investigadores de seguridad estudiaban diferentes formas de ejecutar código remoto en OpenSMTPD, empezaron a buscar posibles vulnerabilidades en las librerías implementadas en esta herramienta, dándose cuenta de un fallo que permitía un desbordamiento de búfer en la función OBJ_obj2txt de las librerías LibreSSL.
Este fallo de seguridad no es tan grave como los fallos detectados en OpenSSL hace ya un tiempo, pero sí podría permitir a piratas informáticos realizar ataques de denegación de servicio y, probablemente, ejecutar código aleatorio en los sistemas afectados.
Según los expertos de seguridad, esta vulnerabilidad afecta a todas las versiones de LibreSSL, incluidas la versión 2.0, primera compilación recomendada para uso público, y la 2.3.0, versión más reciente de la librería publicada hace menos de un mes. Por suerte, OpenSSL no se ha visto afectado por esta vulnerabilidad, por lo que solo deben aplicar las medidas de seguridad aquellos usuarios que utilicen conexiones seguras con las librerías afectadas.
Por el momento no hay una solución disponible, aunque el equipo de desarrollo de LibreSSL ha confirmado que ya se encuentra trabajando en solucionarla. El parche de seguridad no tardará en llegar, y una vez lo haga, es de vital importancia que todos los usuarios actualicen sus librerías a la última versión para evitar que esta vulnerabilidad, ahora pública, pueda ser utilizada por los piratas informáticos, sin embargo, tal como ha ocurrido en otras ocasiones, la vulnerabilidad ahora es pública, por lo que es muy probable que piratas informáticos busquen diferentes formas de explotarla hasta que se lance la versión definitiva con este fallo solucionado, por lo que se recomienda estar alerta para evitar caer víctimas de este fallo.
Para comprobar si hay una nueva versión y descargarla debemos acceder a su página web principal.
¿Utilizas las librerías LibreSSL para establecer conexiones seguras?
Quizá te interese:
- Disponible el nuevo LibreSSL 2.3 con mejoras en la seguridad de las conexiones
- LibreSSL no es tan seguro como OpenSSL en Linux