Informática

Nuevo Fallo De Seguridad En OpenSSL

La Fundación OpenSSL ha reparado más de una docena de vulnerabilidades en su biblioteca de códigos de cifrado, incluyendo un fallo bastante grave que puede ser explotada mediante el uso de los ataques de denegación de servicio (DoS).

OpenSSL es una biblioteca criptográfica de código abierto ampliamente utilizada, la cual proporciona conexiones cifradas de Internet a través de Secure Sockets Layer (SSL) o Transport Layer Security (TLS) para la mayoría de sitios web, así como otros servicios seguros.

Existen vulnerabilidades en las versiones de OpenSSL 1.0.1, 1.0.2 y 1.1.0 y reparadas en versiones 1.1.0a, 1.0.2i y 1.0.1u.

El error crítico lo puedes encontrar en CVE-2.016 a 6.304, el cual puede ser explotada mediante el envío de una gran extensión de peticiones de estado OCSP en el servidor de destino durante las negociaciones de conexión, lo que provoca el agotamiento de memoria para lanzar ataques de denegación de servicio, puedes encontrar mas información de lo anterior en el siguiente enlace.

Qué es el protocolo OCSP?

OCSP (Online Certificate Status Protocol), con el soporte de todos los navegadores web modernos, es un protocolo diseñado para llevar a cabo la verificación y obtener el estado de revocación de un certificado digital conectado a un sitio web.

OCSP divide en componentes de cliente y servidor. Cuando una aplicación o un navegador web intenta comprobar un certificado SSL, el componente de cliente envía una solicitud a un receptor en línea a través del protocolo HTTP, que a su vez, devuelve el estado del certificado, y si este es valido o no.

Este fallo ha sido informado por Shi Lei, un investigador de la empresa de seguridad china Qihoo 360, la vulnerabilidad afecta a los servidores en su configuración por defecto, incluso si no son compatibles con OCSP.

«Un atacante podría utilizar la extensión TLS» TLSEXT_TYPE_status_request «y rellenar los identificadores de OCSP con continuamente renegociación», explica el investigador en un blog.

«En teoría, un atacante podría renegociar continuamente con el servidor haciendo así que el crecimiento sin límites de memoria en el servidor, sea bastante elevado.»

Cómo prevenir ataques DoS en OpenSSL

Los administradores pueden mitigar los daños corriendo ‘no-ocsp.’ Por otra parte, los servidores que utilizan versiones anteriores de OpenSSL a 1.0.1g no son vulnerables en su configuración por defecto.

Otra vulnerabilidad moderada (CVE-2.016-6305) que puede ser explotada para lanzar ataques de denegación de servicio se fija en el lanzamiento del parche, que afecta a OpenSSL 1.1.0, el cual fue lanzado hace menos de un mes.

El equipo también ha solucionado un total de 12 vulnerabilidades de baja severidad en las últimas versiones de OpenSSL, pero la mayoría de ellos no afectará a la rama 1.1.0.

Vale la pena señalar que el proyecto OpenSSL terminará el soporte para OpenSSL versión 1.0.1 el 31 de diciembre de 2016, por lo que los usuarios no recibirán ninguna actualización de seguridad desde el comienzo de 2017. Por lo tanto, los usuarios se les recomienda actualizar a fin de evitar cualquier problema de seguridad.

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

2 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

2 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace