Web Analytics
Conecta con nosotros

Noticias

Descubierto nuevo fallo de seguridad en OpenSSL

Publicado el
Nueva Vulnerabilida OpenSSL

Nueva Vulnerabilida OpenSSL

Un investigador ha descubierto una severa vulnerabilidad en la librería de cifrado OpenSSL, que permite a los atacantes descifrar y modificar webs, emails y redes privadas virtuales protegidas por la Capa de Conexión Segura, más conocida como TLS (Transport Layer Security), que es el método de cifrado más usado en las conexiones entre usuarios y servidores.

La fallo en TLS solo puede ser aprovechado cuando el tráfico es enviado a través de un servidor que utiliza OpenSSL 1.0.1 y1.0.2-beta1 y sus mantenedores lo avisaron el jueves, explicando que todos los servidores que usan una versión posterior a la 1.0.1 tendrían que actualizar los antes posible como precaución. Esta vulnerabilidad llega existiendo desde el primer lanzamiento de OpenSSL, hace ya dieciséis años. Formalmente conocida como CVE-2014-0224, fue descubierto por un desarrollador y fue reportado de forma privada a OpenSSL. El fallo hace posible que los atacantes pudiesen monitorizar una conexión entre un cliente y un servidor para forzar débiles claves criptográficas en los dispositivos clientes, falsificando la comunicación.

Al contrario de Heartbleed, que permitía atacar directamente al servidor, este nuevo fallo de seguridad solo puede ser aprovechado cuando el cliente y el servidor son vulnerables y estén realizando una comunicación, haciendo que los contextos más propicios para aprovehcar la vulnerabilidad son las redes poco seguras, como por ejemplo una WiFi pública.

Después del terremoto de Heartbleed OpenSSL vuelve a dar un disgusto a todo Internet y poniendo más en duda si cabe su fiabilidad, aunque ya se sabe que no hay software perfecto, cierto que este tipo de fallos pueden poner en riesgo las inversiones y el prestigio de muchas empresas.

Si tenéis algún servidor público a vuestro cargo os recomendamos que actualicéis lo antes posible.

Apasionado del software en general y de Linux en particular. El Open Source, la multiplataforma y la seguridad son mis especialidades.

10 comentarios
  • Hombre Honesto

    Lo que me preocupa es que hace 16 años se sabia de esta vulnerabilidad, es como si a un arquitecto le dices que la viga se caerá y este hace omiso de este. Es una irresponsabilidad.

  • el nacionalista

    la NSA buscando por donde meterse para seguir espiando

  • Pero recuerda que el código abierto permite que estos fallos se detecten y corrijan de inmediato. jajajaja.

    ¿Qué tanto son 16 años?

  • David Salazar

    Jajajajajajajaajaj……………..

  • Leonmafioso

    Una eternidad en softare y sistemas operativos. Hace 16 años estaba por salir windows 98.

  • Alberto Evans

    Dice que existe desde hace 16 años, no que se sabía desde hace 16 años.

  • No importa, que acaso no auditan el codigo?, al final, me cago en que sea open source, nadie audita un carajo, tienen razon los de OpenBSD con empezar de cero haciendo LibreSSL.

  • Y nosotros le damos la razon, habria que hacer un petitorio para que en todas las distro comience a usarse LibreSSL y dejen de lado ya el codigo inflado y lleno de parches de OpenSSL, que por lo que leo, fue mal concebido.

  • Eso mismo pense

  • Jonatan Lobeto Menéndez

    No, el código abierto permite que cualquiera pueda auditar el código; pero el código no se audita sólo 😉

Lo más leído