Nueva vulnerabilidad crítica en OpenSSL

OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed, FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de una nueva versión de OpenSSL para corregir una vulnerabilidad calificada como de gravedad “alta“. Este anuncio creó cierta expectación que rápidamente quedó eclipsada por las informaciones relacionadas con el Hacking Team. Todas las incógnitas sobre el problema han quedado resueltas.

Tal y como anunció, el proyecto OpenSSL ha publicado hoy una actualización para esta nueva vulnerabilidad de falsificación de cadenas de certificados alternativos, identificada con CVE-2015-1793. La vulnerabilidad está relacionada con el proceso de verificación de certificados.

Durante la verificación de certificados si falla el primer intento de construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin embargo, un error en la implementación puede permitir a un atacante evitar la comprobación de determinados controles (como la bandera de CA) en certificados no confiables. Esto puede permitir a un certificado de usuario válido actuar como certificado de CA y emitir certificados, que aunque no sean válidos, serán aceptados como confiables por el sitio afectado.

Este problema afecta a cualquier aplicación que verifique certificados incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b, 1.0.1n y 1.0.1o de OpenSSL.

Se han publicado las actualizaciones:

  • OpenSSL 1.0.2d para usuarios de OpenSSL 1.0.2b y 1.0.2c
  • OpenSSL 1.0.1p para usuarios de OpenSSL 1.0.1n y 1.0.1o

Más información:

Alternative chains certificate forgery (CVE-2015-1793)
https://www.openssl.org/news/secadv_20150709.txt

FREAK, un nuevo ataque a SSL/TLS
http://unaaldia.hispasec.com/2015/03/freak-un-nuevo-ataque-ssltls.html

una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed
http://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.html

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes
http://unaaldia.hispasec.com/2015/05/logjam-el-hacedor-de-llaves-en-el-reino.html

Forthcoming OpenSSL releases
https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de caramelos
http://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.html

Fuente: Hispasec

Publicado por

Martín Aberastegue

Especialista en Marketing Digital, ex consultor en Seguridad Informática. Apasionado por la Tecnología.