Por
si no teníamos ya bastante con vulnerabilidades como Heartbleed,
FREAK
o la más reciente Logjam,
llega una nueva
vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar
a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de conexiones seguras.
El pasado lunes
el
equipo del proyecto OpenSSL anunció la publicación de una nueva versión de
OpenSSL para corregir una
vulnerabilidad calificada como de gravedad "
alta". Este anuncio creó cierta expectación
que rápidamente quedó eclipsada por las informaciones relacionadas con el
Hacking
Team. Todas las incógnitas sobre el problema han quedado resueltas.
Tal y como anunció, el proyecto
OpenSSL ha publicado hoy una actualización para esta nueva vulnerabilidad de
falsificación de cadenas de certificados alternativos, identificada con CVE-2015-1793.
La vulnerabilidad está relacionada con
el proceso de verificación de certificados.
Durante la verificación de
certificados si falla el primer intento de construir la cadena de certificados,
OpenSSL (desde versiones 1.0.1n y 1.0.2b) intentará encontrar una cadena de
certificados alternativa. Sin embargo, un error en la implementación puede
permitir a un atacante evitar la comprobación de determinados controles (como
la bandera de CA) en certificados no confiables. Esto puede permitir a un
certificado de usuario válido actuar como certificado de CA y emitir
certificados, que aunque no sean válidos, serán aceptados como confiables por
el sitio afectado.
Este problema afecta a cualquier
aplicación que verifique certificados incluyendo clientes SSL, TLS y DTLS y
servidores SSL, TLS y DTLS que usen autenticación de clientes. Afecta a las
versiones 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o de OpenSSL.
Se han publicado las actualizaciones:
OpenSSL 1.0.2d para usuarios de OpenSSL
1.0.2b y 1.0.2c
OpenSSL 1.0.1p para usuarios de
OpenSSL 1.0.1n y 1.0.1o
Más información:
Alternative
chains certificate forgery (CVE-2015-1793)
FREAK, un nuevo ataque a SSL/TLS
una-al-dia (08/04/2014) OpenSSL afectada por una
vulnerabilidad apodada Heartbleed
una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el
reino de las cerraduras cobardes
Forthcoming
OpenSSL releases
una-al-dia (08/07/2015) Sombreros
verdes y 400 gigas de caramelos
Antonio Ropero
