Si actualizaste a la versión del 11 de Junio de OpenSSL, debes desinstalarla ahora mismo, ya que vino con una grave vulnerabilidad de falsificación de identidad.
Malas noticias. Si eres de los que instalan las actualizaciones en cuanto salen para tener tus servicios más protegidos, en esta oportunidad no va a ser como esperabas, pues la actualización liberada el 11 de Junio de OpenSSL abrió un agujero de seguridad que antes no existía.
Durante la validación del certificado, OpenSSL intentará encontrar una ruta de certificación alternativa si el primer intento de crear la ruta falla. Un error en la implementación de esta lógica permitiría a un atacante manipular un certificado fraudulento cambiando la bandera del CA, por ejemplo, permitiéndole actuar como CA con una ruta válida de certificación y emitir un certificado inválido que sería reconocido como válido.
El error afecta sólo a las versiones 1.0.1 y 1.0.2 liberadas el 11 de Junio y permite a un atacante con un certificado TLS que no es de confianza, hacerse pasar por una autoridad de certificación, permitiendo engañar al cliente para confiar en el certificado fraudulento. Esto permitiría interceptar las comunicaciones tanto de sitios web como de VPN a través de man-in-the-middle sin importar si estas están encriptadas o no.
La vulnerabilidad fue descubierta por Adam Langley y David Benjamin pertenecientes al proyecto BoringSSL de Google, y tiene el número CVE-2015-1793 asignado.
El parche de Junio corregía algunos errores de corrupción de memoria, denegación de servicio y el terrible LogJam. También corregía un error que permitía crear certificados y CLR’s malformados.
Afortunadamente las versiones anteriores no fueron afectadas, y según reportan desde OpenSSL, la adopción de las versiones afectadas fue bastante baja y todavía no ha habido registros de explotación.
Si parchaste con las versiones del 11 de Junio ¡Vuelve a parchar!
Fuente: Segu-Info
