Actualización de la librería OpenSSLv
El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.6 y
0.9.7 de su librería SSL, que solucionan dos ataques de denegación de
servicio (DoS).
La librería OpenSSL es un desarrollo “Open Source” que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y “hash”, generadores de claves, generadores pseudoaleatorios,
etc).
Las versiones no actualizadas de OpenSSL son susceptibles a
dos ataques de denegación de servicio (DoS) que permiten que un atacante
remoto “mate” el proceso que esté usando la librería SSL. Las dos
vulnerabilidades son:
-Un atacante malicioso puede forzar una
negociación SSL/TLS especialmente manipulada para inducir un bug en la
librería OpenSSL, provocando el uso de un puntero “NULL”, ilegal.
-Cuando se usan autentificaciones Kerberos, un atacante remoto podría forzar
una negociación SSL/TLS especialmente manipulada para inducir un bug en
el código Kerberos de la librería, provocando la caída del servicio.
La recomendación de Hispasec es actualizar a la versión 0.9.6m o 0.9.7d de la
librería OpenSSL.