·

·

Vulnerabilidad en el OpenSSL permite a los cibercriminales suplantar los Certificado SSL

Por JAT Consulting el 10 Julio, 2015 Sin Comentarios

La misteriosa vulnerabilidad de seguridad en las librerías de código en el ampliamente usado OpenSSL no es la vulnerabilidad HeartBleed ni FREAK pero es lo suficientemente crítico como para ser parchado o actualizado por los administradores de sistemas sin ningún tipo de retraso.

La OpenSSL Software Foundation ha lanzado el parche prometida contra una vulnerabilidad alta severidad en el OpenSSL versiones 1.0.1n y 1.0.2b, la resolución de un problema de la suplantación de certificados en las implementaciones del protocolo criptográfico.

La vulnerabilidad crítica podría permitir a los atacantes realizar ataques man-in-the-middle para suplantar sitios web criptográficamente protegidas, redes privadas virtuales, o servidores de correo electrónico, y snoop en el tráfico de Internet cifrado.

La vulnerabilidad, (CVE-2015-1793), se debe a un problema que se encuentra en el proceso de verificación del certificado. Un error en su implementación se saltó algunos controles de seguridad en los nuevos, certificados no confiables.

Mediante la explotación de la vulnerabilidad, un atacante podría eludir las advertencias de certificados que les permitan obligar a aplicaciones en el tratamiento de un certificado no válido como una entidad emisora de certificados legítimos.

“Un error en la aplicación de esta lógica puede significar que un atacante podría causar ciertos controles sobre los certificados no confiables para ser anuladas”, un aviso por OpenSSL explica, “tales como la bandera CA, lo que les permite utilizar un certificado válido de la hoja para que actúe como una CA y no como un certificado no válido”.

Este problema afecta cualquier aplicación de usuario final que verifica los certificados incluidos Transport Layer Security (TLS) o Secure Sockets Layer (SSL) o clientes DTLS y SSL/DTLS/TLS y servidores utilizando autenticación de cliente.

Este problema de seguridad fue descubierto por Adam Langley y David Benjamin de Google BoringSSL, la propia versión de Google del OpenSSL. Los desarrolladores reportaron la falla de OpenSSL el 24 de junio y luego presentaron una solución para solucionar el problema.

El fallo de seguridad afecta al OpenSSL versiones 1.0.1n, 1.0.2b, 1.0.2c y 1.0.1o. Por lo que se recomienda a los usuarios de la versión de OpenSSL 1.0.2b/1.0.2c que actualicen su sistema a la versión 1.0.2d y los usuarios de la versión de OpenSSL 1.0.1n/1.0.1o actualizar a la versión 1.0.1p.

Vulnerabilidad en el OpenSSL permite a los cibercriminales suplantar los Certificado SSL

Posts Relacionados

Echa un vistazo a estos posts

Unirse a la conversación