El sábado os informamos de una actualización importante de la librería OpenSSL, la librería más utilizada por los sistemas operativos y firmwares de routers, ya que es la base de la mayoría de conexiones cifradas. Ahora el equipo de desarrollo de OpenSSL ha inhabilitado esa actualización debido a que han descubierto que el parche introducía un nuevo fallo crítico de seguridad.
Según el aviso de seguridad de OpenSSL, esta nueva actualización de seguridad se encarga de parchear los fallos graves de seguridad que fueron causados por el parche de la actualización del 22 de septiembre. Debido a la gravedad del fallo de seguridad, impidieron inmediatamente la descarga de la versión afectada, por este motivo en la web oficial no se podía descargar la última versión hasta que solucionaran el nuevo fallo crítico introducido.
¿En qué consiste este fallo de seguridad crítico que soluciona el último parche?
La actualización del día 22 de septiembre de 2016 fue la causante del nuevo fallo de seguridad, aunque soluciona el fallo CVE-2016-6307. El fallo crítico provocaba que si un usuario malintencionado enviaba un mensaje más grande de 16K, podría ejecutar código arbitrario e incluso provocar una denegación de servicio en el sistema. Al recibir un mensaje mayor de 16K, la memoria intermedia recibe el mensaje, reasignándolo y moviéndolo, pero el puntero no se movía a la nueva localización sino que apuntaba a la vieja zona de memoria.
Este fallo afectaba únicamente a la versión OpenSSL 1.1.0a del 22 de septiembre, actualmente el equipo de desarrollo de OpenSSL ha lanzado ya la nueva versión OpenSSL 1.1.b del 26 de septiembre que soluciona este fallo catalogado como crítico.
En la actualización OpenSSL 1.0.2i lanzada el 22 de septiembre, también incorporó un nuevo fallo de seguridad que ya solucionaron anteriormente, este fallo consistía en no comprobar correctamente las CRL, por lo que cualquier intento de usar CRL se bloquearía por utilizar un puntero a null. El equipo de desarrollo parece ser que olvidó introducir en la versión anterior este parche que solucionaba el problema.
Os recomendamos leer el aviso de seguridad en la página web oficial de OpenSSL.
Últimas versiones libres de fallos conocidos
En la página web oficial de OpenSSL ya se encuentran las últimas versiones disponibles libre de fallos conocidos. Os recomendamos revisar la versión de OpenSSL de vuestros sistemas operativos para actualizarlos y estar a la última en parches de seguridad, si habéis actualizado a la versión 1.1.0a en vuestro sistema es crítico que pongáis este nuevo parche 1.1.0b.