Nadie se libra. Fue hace unos días que os hablaba del fallo SSL de OS X e iOS.
Hoy le toca a una librería de SSL para Linux, con consecuencias muy similares.
Un atacante podría usar el fallo para crear certificados aceptados como válidos por la librería, y espiar así comunicaciones aparentemente seguras. Esto empieza a ser recurrente.
¿Qué ha pasado esta vez?Se ve que un desarrollador se equivocó al programar y no se interpretó bien el código de salida. Así, un código de retorno negativo que indica un error se convertía en un código de retorno distinto de 0 que indica que todo ha ido bien.
Hasta aquí todo sería un descuido tonto, pero el lapsus ha durado años (desde 2005 para ser exactos).
La librería GnuTLS es ampliamente usada en Linux (Red Hat, Ubuntu, Debian, etc) para establecer conexiones seguras por SSL, así que todos los programas que la usan están afectados por el fallo.
Por ejemplo, Apache en ciertas configuraciones, Filezilla u OpenOffice (por mencionar algunas más típicas) usarían la librería para establecer sus conexiones seguras.
De todas formas, que no cunda el pánico. El parche ya está disponible y muchas distribuciones lo tienen ya listo para que podáis actualizar.
Gracias a RedHat y Debian por sus constantes auditorías.
