La Fundación OpenSSL ha reparado más de una docena de vulnerabilidades en su biblioteca de códigos de cifrado, incluyendo un fallo bastante grave que puede ser explotada mediante el uso de los ataques de denegación de servicio (DoS).
OpenSSL es una biblioteca criptográfica de código abierto ampliamente utilizada, la cual proporciona conexiones cifradas de Internet a través de Secure Sockets Layer (SSL) o Transport Layer Security (TLS) para la mayoría de sitios web, así como otros servicios seguros.
Existen vulnerabilidades en las versiones de OpenSSL 1.0.1, 1.0.2 y 1.1.0 y reparadas en versiones 1.1.0a, 1.0.2i y 1.0.1u.
El error crítico lo puedes encontrar en CVE-2.016 a 6.304, el cual puede ser explotada mediante el envío de una gran extensión de peticiones de estado OCSP en el servidor de destino durante las negociaciones de conexión, lo que provoca el agotamiento de memoria para lanzar ataques de denegación de servicio, puedes encontrar mas información de lo anterior en el siguiente enlace.
Qué es el protocolo OCSP?
OCSP (Online Certificate Status Protocol), con el soporte de todos los navegadores web modernos, es un protocolo diseñado para llevar a cabo la verificación y obtener el estado de revocación de un certificado digital conectado a un sitio web.
OCSP divide en componentes de cliente y servidor. Cuando una aplicación o un navegador web intenta comprobar un certificado SSL, el componente de cliente envía una solicitud a un receptor en línea a través del protocolo HTTP, que a su vez, devuelve el estado del certificado, y si este es valido o no.
Este fallo ha sido informado por Shi Lei, un investigador de la empresa de seguridad china Qihoo 360, la vulnerabilidad afecta a los servidores en su configuración por defecto, incluso si no son compatibles con OCSP.
«Un atacante podría utilizar la extensión TLS» TLSEXT_TYPE_status_request «y rellenar los identificadores de OCSP con continuamente renegociación», explica el investigador en un blog.
«En teoría, un atacante podría renegociar continuamente con el servidor haciendo así que el crecimiento sin límites de memoria en el servidor, sea bastante elevado.»
Cómo prevenir ataques DoS en OpenSSL
Los administradores pueden mitigar los daños corriendo ‘no-ocsp.’ Por otra parte, los servidores que utilizan versiones anteriores de OpenSSL a 1.0.1g no son vulnerables en su configuración por defecto.
Otra vulnerabilidad moderada (CVE-2.016-6305) que puede ser explotada para lanzar ataques de denegación de servicio se fija en el lanzamiento del parche, que afecta a OpenSSL 1.1.0, el cual fue lanzado hace menos de un mes.
El equipo también ha solucionado un total de 12 vulnerabilidades de baja severidad en las últimas versiones de OpenSSL, pero la mayoría de ellos no afectará a la rama 1.1.0.
Vale la pena señalar que el proyecto OpenSSL terminará el soporte para OpenSSL versión 1.0.1 el 31 de diciembre de 2016, por lo que los usuarios no recibirán ninguna actualización de seguridad desde el comienzo de 2017. Por lo tanto, los usuarios se les recomienda actualizar a fin de evitar cualquier problema de seguridad.