Desde
que salió a la luz la vulnerabilidad conocida como Heartbleed, OpenSSL parece
que está bajo la lupa y nuevamente se dan a conocer más problemas que afectan a
la popular librería de cifrado. En esta ocasión el proyecto OpenSSL acaba depublicar un boletín advirtiendo de la corrección de nueve nuevas
vulnerabilidades, que afectan a las tres principales ramas del proyecto, aunque
no son tan graves como las últimas anunciadas.
El primero de los problemas (CVE-2014-3508)
reside en OBJ_obj2txt que puede provocar una fuga de información con
determinadas funciones de impresión. Un segundo problema (CVE-2014-5139) afecta a clientes OpenSSL 1.0.1 SSL/TLS y podría
permitir a un servidor malicioso provocar denegaciones de servicio por una
dereferencia de puntero nulo. También se presenta una condición de carrera en ssl_parse_serverhello_tlsext
(CVE-2014-3509).
Otras vulnerabilidades de
denegación de servicio se deben a una doble liberación de memoria al procesar
paquetes DTLS (CVE-2014-3505), por un consumo de grandes cantidades de memoria mientras
se procesan mensajes de negociación DTLS(CVE-2014-3506), por una fuga de
memoria por el tratamiento de paquetes DTLS con fragmentos de tamaño 0 (CVE-2014-3507)
y por una dereferencia de puntero nulo en clientes OpenSSL DTLS con suites de
cifrado EC(DH) anónimo (CVE-2014-3510).
Otro problema, se da cuando el
mensaje ClientHello está muy fragmentado, lo que puede obligar a servidores OpenSSL
1.0.1 SSL/TLS a negociar TLS 1.0 en vez de versiones del protocolo más modernas
(CVE-2014-3511).
Por último, un cliente o servidor
malicioso podría enviar parámetros SRP no válidos y sobreescribir un búfer interno.
Solo se ven afectadas las aplicaciones configuradas explícitamente para SRP.
Los problemas afectan a las versiones
OpenSSL 0.9.8, 1.0.0 y 1.0.1. Se han publicado las versiones OpenSLL 0.9.8zb, 1.0.0n
y 1.0.1i que solucionan los problemas descritos y pueden descargarse desde
Más información:
OpenSSL Security Advisory [6 Aug 2014]
una-al-dia (05/06/2014) OpenSSL
corrige nuevas vulnerabilidades graves
una-al-dia (08/04/2014) OpenSSL
afectada por una vulnerabilidad apodada Heartbleed
Antonio Ropero
Twitter: @aropero