El
proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL
destinada a corregir una vulnerabilidad, calificada de gravedad alta, que
podría permitir la realización de ataques de denegación de servicio.
OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar
dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes
criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).
La vulnerabilidad, con CVE-2017-3733, reside en que si durante una renegociación se
encuentra la extensión Encrypt-Then-Mac pero esta no estaba en la negociación
original (o viceversa) se puede provocar una denegación de servicio
(dependiendo de la suite de cifrado). Se ven afectados tanto clientes como
servidores.
OpenSSL ha publicado la versión
1.1.0e disponible desde
No afecta a versiones OpenSSL
1.0.2.
Se recuerda que las versiones
OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.
Más información:
OpenSSL Security Advisory [16 Feb 2017]
Encrypt-Then-Mac renegotiation crash
(CVE-2017-3733)
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario