OpenSSL golpea con una nueva vulnerabilidad crítica de nuevo

vulnerabilidad-openssl

Los investigadores de seguridad han encontrado una nueva vulnerabilidad en la infraestructura OpenSSL que podría dar a los atacantes el margen de maniobra para entrometerse en una red de comunicaciones que de otro modo sería segura.

La falla crítica en OpenSSL, además de la vulnerabilidad Heartbleed, está diseñada para hacer que las computadoras reconozcan un certificado digital falso como legítimo. Una vez que se acepta un certificado digital falso, los piratas informáticos podrían realizar ataques de intermediario contra la red, escuchando así las líneas de comunicación seguras entre usuarios privados que luego creerían que están intercambiando mensajes en un entorno seguro.

vulnerabilidad-openssl

OpenSSL encuentra un uso popular en la implementación de los protocolos criptográficos Secure Sockets Layer (SSL) y Transport Layer Security (TLS). La mayoría de los servidores web del mundo utilizan software de código abierto.

La vulnerabilidad detectada tuvo algo que ver con la capacidad de OpenSSL para verificar certificados. Eso significa que se ha comprendido la precisión del proceso de verificación.

Aquí está la explicación de todo. Un dispositivo de conexión avanza un paso más en la cadena de emisión de certificados si no puede confirmar que un certificado ha sido realmente garantizado por una autoridad de certificación confiable. Los certificados SSL se emiten desde la autoridad de certificación raíz hasta varias CA intermedias y, en última instancia, a través del certificado de usuario final. Si no puede localizar una autoridad certificadora de confianza, se devolverá un mensaje de error, negando así una conexión segura.

OpenSSL determinará otra cadena alternativa si fallan los intentos anteriores de crear cadenas de certificados. Debido a un error en la implementación del proceso de búsqueda de una cadena alternativa, surge una vulnerabilidad. En consecuencia, los atacantes podrán sortear los controles de las CA que no sean de confianza.

Además, un atacante podrá utilizar un certificado de usuario final para disfrazarse de CA y, por lo tanto, emitir certificados ilegítimos que serán considerados por el equipo de la víctima como un certificado de confianza.

El software de cliente SSL y TLS a menudo realiza la tarea de validar una cadena de certificados. El software cliente SSL y TLS podría incluir navegadores y servidores de correo electrónico, que son susceptibles a la falla descubierta si usan una edición de OpenSSL para verificar la cadena de certificados que se ha visto afectada por la vulnerabilidad.

Afortunadamente, los servidores web están a salvo de la vulnerabilidad si no son para autenticar a los visitantes del sitio, o si autentican a los visitantes del sitio en otros casos, esos visitantes deben usar contraseñas.

Las versiones de OpenSSL afectadas por esta vulnerabilidad incluyen las versiones 1.0.2c, 1.0.2b, 1.0.1ny 1.0.1o. Los usuarios de las versiones 1.0.2by 1.0.2c deben actualizar a 1.0.2d, mientras que los usuarios de las versiones 1.0.1ny 1.0.1o deben actualizar a 1.0.1p.

0 Shares