No hay día que no se descubra algún agujero de seguridad. Afortunadamente, se trabaja duramente para taparlos. Hoy le ha tocado el turno a SSL.
¿Qué versiones conviene actualizar?
Se deben actualizar las versiones 0.9.8 y anteriores a la 0.9.8za. De la 1.0.0 y anteriores a la 1.0.0m y de las versiones 1.0.1 y anteriores a la 1.0.1h.
¿Qué se resuelve?
En concreto, las nuevas versiones resuelven varios problemas:
- Un posible ataque de tipo Man-in-the-Middle.CVE-2014-0224.
- Un problema de denegación de servicio (DoS), debido a un handshake DTLS inválido, que podría afectar a clientes DTLS. CVE-2014-0221.
- Un atacante podría ejecutar código arbitrario, tanto en servidores como clientes, mediante el envío de un fragmento DTLS inválido que provoque un buffer overrun. CVE-2014-0195.
- Un problema de denegación de servicio, provocado por un fallo en la función do_ssl3_write, que podría ser explotado por un atacante por medio de una referencia a un puntero a NULL. CVE-2014-0198.
- Podría provocarse la inyección de datos entre sesiones, o una denegación de servicio forzando una condición de carrera por medio de la función ssl3_read_bytes. CVE-2010-5298.
- Clientes TLS con suites de cifrado con ECDH anónimo podrían ser víctimas de una denegación de servicio. CVE-2014-3470.
- El ataque descrito en «Recovering OpenSSL ECDSA Nonces Using the FLUSH+RELOAD Cache Side-channel Attack«. CVE-2014-0076.
Muchas aplicaciones hacen uso de esta tecnología, por lo que es posible que recibamos mensajes de actualización o alertas de nuevas versiones en los próximos días (según sistema).
Es cierto que son datos muy técnicos, pero hay una cosa que es fácil de entender. Tener los sistemas actualizados evita algunos peligros que aunque no entendamos, están ahí.
