La técnica de ataque denominada DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) se une a la lista de métodos utilizados para causar problemas en conexiones TLS.
Al parecer más de 11,5 millones de sitios Web bajo el protocolo HTTPS están expuestos a DROWN, y se estima en casi 1 millón los servidores de email. De nuevo el origen del problema está en OpenSSL, la librería criptográfica de código abierto.
Ha surgido un nuevo método para interceptar la comunicación TLS utilizando conexiones bajo el protocolo SSLv2 que son enviadas a un servidor erróneamente configurado.
Los sistemas que dependan de la biblioteca citada, deben actualizar a la versión 1.0.2g o 1.0.1s tan pronto como sea posible. Los parches han sido liberados.
Para conocer más en detalle el alcance, recomendamos el artículo elaborado por Arstechnica.
En resumen, nuevo «problemón» para los administradores de los sitios afectados, y para los usuarios que facilitan sus datos en ellos. Lamentablemente, no es la primera vez…ni será la última.
