OpenSSL es un robusto conjunto de herramientas y bibliotecas criptográficas encargadas de brindar funciones de cifrado a otras aplicaciones como navegadores web o herramientas como OpenSSH para poder establecer conexiones seguras y cifradas a través de Internet. Esta herramienta es utilizada en la mayoría de los servidores a lo largo de toda la red, por lo que frente a una vulnerabilidad, el número de servidores y usuarios que se pueden ver afectados es muy grande, tal como ha ocurrido ya en ocasiones anteriores.
El pasado 1 de abril de 2014 se dio a conocer una de las peores vulnerabilidades para la seguridad de Internet: Heartbleed, un fallo que permitía el acceso a espacios de memoria más allá de los utilizados por los procesos de OpenSSL donde, por lo general, se almacenaban temporalmente las últimas contraseñas y claves de cifrado utilizadas para conectarse a los servidores remotos. Desde entonces, todas las actualizaciones de OpenSSL se han recibido con gran expectación con el fin de poder conocer los posibles fallos de seguridad en esta herramienta crítica para la seguridad y permitir a los administradores de sistemas proteger sus redes y evitar que el tráfico y los sistemas de autenticación puedan verse comprometidos.
Los responsables de seguridad de la suite de cifrado han informado de que el próximo 3 de mayo de 2016, es decir, mañana, van a liberar una nueva versión de la herramienta con la que solucionarán varias vulnerabilidades de alta importancia pero que están relacionadas con configuraciones poco comunes y son bastante poco propensas a ser explotadas. Por motivos de seguridad, los responsables no han hecho pública ningún tipo de información sobre estas vulnerabilidades, y tampoco han desarrollado ningún logotipo ni título atractivo que llame la atención de los usuarios como Heartbleed o DROWN.
La importancia de actualizar OpenSSL a una versión con soporte
A partir de mañana estarán disponibles las nuevas versiones 1.0.2h y 1.0.1t encargadas de solucionar estos fallos de seguridad, por lo que se recomienda actualizar lo antes posible una vez estén disponibles para evitar que, una vez hechas públicas las vulnerabilidades, puedan ser aprovechadas por piratas informáticos.
Con esta ya serán 3 las actualizaciones de OpenSSL que se han publicado en lo que va de año. Las dos actualizaciones anteriores, publicadas en enero y marzo, solucionaban varias vulnerabilidades bastante importantes, entre otras DROWN, un fallo de seguridad que afectaba a todas las comunicaciones cifradas y que comprometió la seguridad de la cuarta parte de los sitios web HTTPS más visitados en todo el mundo.
Recordamos que las versiones 1.0.0 y 0.9.8 de OpenSSL ya no tienen soporte y no recibirán ni estas ni ninguna actualización de seguridad más. También recordamos que el soporte para la versión 1.0.1 termina el próximo 31 de diciembre de 2016, por lo que, si tenemos oportunidad, debemos pensar en actualizar a la rama 1.0.2 lo antes posible, ya que será la única que tendrá soporte a partir de entonces.
¿Qué opinas sobre las graves vulnerabilidades que han aparecido últimamente en OpenSSL?
Quizá te interese: