Cuatro problemas de seguridad en OpenSSL

La librería OpenSSL es un desarrollo “Open Source” que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y “hash”, generadores de claves, generadores pseudoaleatorios, etc).

OpenSSL sufrió también una grave vulnerabilidad descubierta a principios de septiembre y que permitía la falsificación de firmas RSA, después de casi un año (octubre de 2005) sin actualizaciones por problemas de seguridad, y casi tres (octubre de 2003) sin errores graves. En esta ocasión los fallos, calificados como de criticidad alta, son:

A la hora de interpretar ciertas estructuras ASN.1 inválidas, no se maneja adecuadamente una condición de error. Esto termina en un bucle infinito que consume la memoria del sistema. Se ve afectado cualquier código que utilice OpenSSL para interpretar datos ASN.1 desde fuentes no confiables. Esto incluye servidores SSL que activen la autenticación de clientes y aplicaciones S/MIME. Esto no afecta a versiones anteriores a la 0.9.7.

Existe un desbordamiento de memoria intermedia en la función SSL_get_shared_ciphers, utilizada por exim y mysql, por ejemplo. Un atacante podría enviar datos que harían que la memoria se desbordara.

Existe una posible denegación de servicio en el código de cliente SSLv2. Si una aplicación cliente utiliza OpenSSL para realizar una conexión SSLv2 a un servidor especialmente manipulado, este servidor podría hacer que el cliente dejase de responder.

Por último, ciertos tipos de clave pública pueden tomar demasiado tiempo de computación. Esto puede ser usado por atacantes para provocar una denegación de servicio.

Se recomienda actualizar a 0.9.7l o posterior para la rama OpenSSL 0.9.7.

Se recomienda actualizar a 0.9.8d o posterior para la rama OpenSSL 0.9.8.