Mantener el software actualizado es muy importante, especialmente todo aquel software relacionado con la seguridad. A diario utilizamos, incluso sin saberlo, librerías criptográficas que garantizan la privacidad y la integridad de los datos que generamos a través de Internet, por lo que, si queremos evitar caer en manos de piratas informáticos o que estos puedan apoderarse de nuestros datos, debemos evitar utilizar versiones obsoletas o desactualizadas de estas librerías.
Hace algunas horas, los responsables del desarrollo de OpenSSL han liberado una serie de nuevas versiones para cada una de las ramas aún con soporte de esta librería criptográfica. Estas nuevas versiones se centran en solucionar varios fallos de seguridad y de funcionamiento, y corresponden con las numeraciones:
- 1.0.2e
- 1.0.1q
- 1.0.0t
- 0.9.8zh
Uno de los fallos más importantes que soluciona está registrada bajo el nombre CVE-2015-3193, y corresponde con un fallo en la función BN_mod_exp que podía devolver resultados incorrectos cuando se ejecutaba en sistemas x86_64. Según los responsables de OpenSSL, esta vulnerabilidad solo afectaría a la versión 1.0.2 y podría ser explotada a través de los algoritmos RSA, DSA y Diffie-Hellman (DH), siendo estos ataques muy difíciles de explotar e incluso no viéndose afectados otros algoritmos como la curva CE. Hay diferencias entre claves simétricas y asimétricas.
El segundo de los fallos que solucionan estas nuevas versiones corresponde con CVE-2015-3194, y se centra en un fallo en el proceso de verificación de la firma de los certificados para llevar a cabo ataques DoS. Los piratas informáticos pueden explotar este fallo para bloquear cualquier aplicación que haga uso de la verificación de certificados. Esta vulnerabilidad solo afectaba a las versiones 1.0.2 y 1.0.1 de OpenSSL.
La tercera de las vulnerabilidades corresponde con CVE-2015-3195, una vulnerabilidad descubierta por un experto de seguridad de Google que podía causar pérdidas de datos de la memoria cuando se utilizaban estructuras X509_ATTRIBUTE mal formadas. Este fallo afecta a todas las versiones de la librería criptográfica.
Podemos ver una lista con las vulnerabilidades solucionadas en estas actualizaciones desde el siguiente enlace.
Las dos versiones más antiguas de OpenSSL dejarán de actualizarse en breve
Aunque en esta ocasión se han publicado revisiones para las versiones 0.9.8 y 1.0.0, los responsables del desarrollo de OpenSSL avisan que a partir del 1 de enero de 2016 estas dos versiones más antiguas dejarán de mantenerse, por ello, es muy probable que las nuevas versiones que se han liberado para dichas ramas serán las últimas que reciban.
Es recomendable, siempre que sea posible, utilizar las versiones más recientes de las librerías cirptográficas, tanto en los clientes como en los servidores, ya que nos aseguraremos de utilizar así los algoritmos más seguros y evitaremos que, por ejemplo, los piratas informáticos puedan aprovechar una vulnerabilidad descubierta en una de las versiones sin soporte de OpenSSL.
¿Has actualizado ya tus librerías OpenSSL?