logo OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed, FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de una nueva versión de OpenSSL para corregir una vulnerabilidad calificada como de gravedad “alta“. Este anuncio creó cierta expectación que rápidamente quedó eclipsada por las informaciones relacionadas con el Hacking Team. Todas las incógnitas sobre el problema han quedado resueltas.

Tal y como anunció, el proyecto OpenSSL ha publicado hoy una actualización para esta nueva vulnerabilidad de falsificación de cadenas de certificados alternativos, identificada con CVE-2015-1793. La vulnerabilidad está relacionada con el proceso de verificación de certificados.

Durante la verificación de certificados si falla el primer intento de construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin embargo, un error en la implementación puede permitir a un atacante evitar la comprobación de determinados controles (como la bandera de CA) en certificados no confiables. Esto puede permitir a un certificado de usuario válido actuar como certificado de CA y emitir certificados, que aunque no sean válidos, serán aceptados como confiables por el sitio afectado.

Este problema afecta a cualquier aplicación que verifique certificados incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o de OpenSSL.

Se han publicado las actualizaciones:

OpenSSL 1.0.2d para usuarios de OpenSSL 1.0.2b y 1.0.2c

OpenSSL 1.0.1p para usuarios de OpenSSL 1.0.1n y 1.0.1o

 

Más información:

Alternative chains certificate forgery (CVE-2015-1793)

https://www.openssl.org/news/secadv_20150709.txt

FREAK, un nuevo ataque a SSL/TLS

http://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html

una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed

http://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.html

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes

http://unaaldia.hispasec.com/2015/05/logjam-el-hacedor-de-llaves-en-el-reino.html

Forthcoming OpenSSL releases

https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos

http://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.html

 

Autor:

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

 

Fuente: http://unaaldia.hispasec.com/2015/07/nueva-vulnerabilidad-critica-en-openssl.html

Fox TroopSeguridadFREAK,HeartBleed,Logjam,OpenSSLPor si no teníamos ya bastante con vulnerabilidades como Heartbleed, FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.