Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes

Administrador Prof. Claudio Enrique Alonso Alvite

« Blog

« Hoy servimos: Jessie ¡venite al software...

10 de Julio, 2015 □ General

Nueva vulnerabilidad crítica en OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed, FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de una nueva versión de OpenSSL para corregir una vulnerabilidad calificada como de gravedad "alta". Este anuncio creó cierta expectación que rápidamente quedó eclipsada por las informaciones relacionadas con el Hacking Team. Todas las incógnitas sobre el problema han quedado resueltas.

Tal y como anunció, el proyecto OpenSSL ha publicado hoy una actualización para esta nueva vulnerabilidad de falsificación de cadenas de certificados alternativos, identificada con CVE-2015-1793. La vulnerabilidad está relacionada con el proceso de verificación de certificados.

Durante la verificación de certificados si falla el primer intento de construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin embargo, un error en la implementación puede permitir a un atacante evitar la comprobación de determinados controles (como la bandera de CA) en certificados no confiables. Esto puede permitir a un certificado de usuario válido actuar como certificado de CA y emitir certificados, que aunque no sean válidos, serán aceptados como confiables por el sitio afectado.

Este problema afecta a cualquier aplicación que verifique certificados incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o de OpenSSL.

Se han publicado las actualizaciones:

OpenSSL 1.0.2d para usuarios de OpenSSL 1.0.2b y 1.0.2c

OpenSSL 1.0.1p para usuarios de OpenSSL 1.0.1n y 1.0.1o

Más información:

Alternative chains certificate forgery (CVE-2015-1793)

https://www.openssl.org/news/secadv_20150709.txt

FREAK, un nuevo ataque a SSL/TLS

http://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html

una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed

http://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.html

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes

http://unaaldia.hispasec.com/2015/05/logjam-el-hacedor-de-llaves-en-el-reino.html

Forthcoming OpenSSL releases

https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos

http://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

freak, heartbleed, logjam, openssl

publicado por alonsoclaudio a las 02:24 · Sin comentarios · Recomendar

Más sobre este tema · Participar

· El software que usa Stephen Hawking para comunicarse ya está disponible para todos

· Actualizaciones de seguridad para Wireshark

· La nueva versión Marshmallow de Android nunca llegará a los dispositivos existentes

· Los SSD más rápidos de la historia llegarán en 2016 de la mano de Intel

· Una navaja suiza para la conversión online de archivos

· Empleados gubernamentales (GOB.AR) que (posiblemente) ingresaron a Ashley Madison

Comentarios (0) · Enviar comentario

CALENDARIO

Abril 2024

BUSCADOR

Blog Web

TÓPICOS

» General (2606)

NUBE DE TAGS [?]

asterisk blog comercio del digital evento fallos fingerprinting firewall fraude gestionada gop hackeando-humanos huayra intellij mantra meterpreter microservicios navidad normas outlook proyectos regalos share spe stumbleup this utorrent 0 twitter7

SECCIONES

» Inicio

» Archivo histórico

» Contacto

» Feeds RSS

ENLACES

MÁS LEÍDOS

» Analizando el LiveBox 2.1 de Orange

» Cómo espiar WhatsApp

» Cómo usar Metashield protector for Client y por qué utilizarlo

» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)

» Ejecución remota de código arbitrario en OpenSSH

» Ganar dinero con 1.200 Millones de identidades robadas

» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora

» Redes de la Deep Web: CJDNS y la Red Hyperboria

» Unidad Central de Procesamiento CPU

» Wassap, la aplicación que permite usar WhatsApp desde la PC

SE COMENTA...

» Cómo espiar WhatsApp

595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...

» Qué hacer ante el robo de un teléfono móvil o una tableta

2 Comentarios: best buy security cameras swann, best buy security cameras swann

» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet

1 Comentario: Coin

» Recopilatorio de aplicaciones y sistemas vulnerables para practicar

2 Comentarios: vera rodrigez ...

» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi

2 Comentarios: firdous ...

SOBRE MÍ

Prof. Claudio Enrique Alonso Alvite

» Ver perfil

AL MARGEN

Escuela de Educacion Secundaria Tecnica N 8 de Quilmes

(Técnicos en Informática Personal y Profesional)

FULLServices Network | Blogger | Privacidad