Nueva vulnerabilidad crítica en OpenSSL

OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed, FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica en OpenSSL. Una vez más el problema podría facilitar a un atacante remoto la realización de ataques de hombre en el medio, y poder escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de una nueva versión de OpenSSL para corregir una vulnerabilidad calificada como de gravedad “alta“. Este anuncio creó cierta expectación que rápidamente quedó eclipsada por las informaciones relacionadas con el Hacking Team. Todas las incógnitas sobre el problema han quedado resueltas.
Continúa leyendo Nueva vulnerabilidad crítica en OpenSSL

El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes

US-CERT está advirtiendo a los administradores de que, posiblemente, el famoso problema en la generación de números aleatorios que sufrió OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado (probablemente de forma automática) para instalar rootkits en servidores Linux vulnerables.

En mayo la criptografía sufrió un grave revés. Se descubrió que el generador de números aleatorios del paquete OpenSSL de Debian era predecible. Las claves generadas con él en los últimos dos años ya no eran fiables o verdaderamente seguras. A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica dejaba de ser fiable para la autenticación y para la confidencialidad. Pronto se generó todo el espacio posible de claves vulnerables (públicas y privadas) y se desarrollaron exploits específicos para poder acceder a sistemas SSH protegidos con criptografía pública.
Continúa leyendo El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes