Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad para OpenSSL

Actualización de seguridad para OpenSSL

Fecha de publicación: 
11/02/2013
Importancia: 
5 - Crítica
Recursos afectados: 
Todas las versiones de OpenSSL están afectadas incluyendo 1.0.1c, 1.0.0j y 0.9.8x.
Descripción: 

A raíz de la reciente vulnerabilidad descubierta por Nadhem Alfardan y Kenny Paterson (Information Security Group), se han liberado nuevas actualizaciones de seguridad para OpenSSL.

Solución: 

Todos los usuarios afectados deben actualizar a OpenSSL 1.0.1d, 1.0.0k o 0.9.8y

Detalle: 

Según los investigadores, la vulnerabilidad permitiría llevar a cabo ataques man-in-the-middle con los que se podría conseguir conexiones TLS/DTLS en texto plano, cuando el modo de operación CBC (Cipher-block chain) está habilitado. Un error de temporización en la forma en la que trabaja el descifrado TLS cuando se utiliza CBC permitiría, cuando se dan una serie de circunstancias, que un atacante pudiera descifrar información confidencial como contraseñas o cookies.

Nota: esta vulnerabilidad es parcialmente mitigada cuando se utiliza OpenSSL junto con el módulo OpenSSL FIPS Object y cuando el modo FIPS está habilitado.