Se ha descubierto una nueva serie de vulnerabilidades en la popular librería OpenSSL, la más grave afecta al protocolo OCSP y podría ocasionar una denegación de servicio en el sistema. El equipo de desarrollo de OpenSSL ha parcheado todas las vulnerabilidades encontradas hasta ahora, por lo que es recomendable actualizar cuanto antes para estar protegidos.
En los últimos meses y años, la cantidad de fallos de seguridad descubiertos en la librería criptográfica por excelencia ha aumentado, y es que OpenSSL es la base de cualquier conexión SSL y TLS que actualmente se realizan a la mayoría de sitios web. Estas nuevas vulnerabilidades que ya se han solucionado, afectan tanto a las versiones OpenSSL 1.0.1, 1.0.2 y también 1.1.0, pero ya se han lanzado las nuevas versiones con los correspondientes parches. Las últimas versiones de OpenSSL son las siguientes:
- 1.0.1u
- 1.0.2i
- 1.1.0a
El fallo crítico en el protocolo OCSP
Esta vulnerabilidad ha sido catalogada como crítica, su identificador de vulnerabilidad es CVE-2016-6304 y puede ser explotada remotamente. La vulnerabilidad consiste en que se pueden enviar grandes paquetes «OCSP Status Request» a un determinado servidor durante la negociación de la conexión, esto causaría un consumo tan elevado de memoria que podría provocar una denegación de servicio en el servidor.
OCSP es uno de los protocolos fundamentales de la web, el objetivo de este protocolo es la de verificar que un certificado digital de una web determinada es válido, y que no ha sido revocado, OCSP utiliza otros métodos que no son el uso de CRL (Lista de Revocación de Certificados). El investigador de seguridad Shi Lei ha declarado que esta vulnerabilidad puede ser explotada si tenemos la configuración por defecto, incluso si no soporta OCSP se podría explotar.
La solución a este fallo de seguridad de OpenSSL ya está disponible
Es necesario que los administradores de sistemas y seguridad actualicen la librería OpenSSL a la última versión disponible, si no pueden actualizar, es recomendable que mitiguen este fallo lanzando «no-ocsp» o directamente filtrándolo en el IDS/IPS de la organización.
Un detalle muy importante es que la versión OpenSSL 1.0.1 dejará de tener soporte a finales de este año, por lo que es recomendable migrar a la versión de OpenSSL 1.0.2 e incluso a la 1.1.0 para tener la seguridad de que tendremos actualizaciones durante mucho más tiempo.