¿Conexiones Seguras…?

OpenSSL es un paquete gratuito y de código abierto, de herramientas y librerías criptográficas. Se utiliza para establecer conexiones seguras entre cliente y servidor.

El pasado 28 de enero el equipo del proyecto OpenSSL publicó un parche (V-1.0.2f y V-1.0.1r disponibles en http://openssl.org/source/) que corrigen dos defectos de seguridad: uno relacionado con una vulnerabilidad catalogada de gravedad alta ( CVE-2016-0701) y la otra (CVE-2015-3197) de gravedad baja.

En el caso de la CVE-2016-0701, aunque esta es alta, solo puede ser explotada si se cumplen dos condiciones. En primer lugar, solo está presente en V-1.0.2. Además, se debe estar utilizando algoritmos de firma digital basadas en el intercambio de claves Diffie-Hellman y que se use el mismo exponente privado de Diffie Hellman en el servidor. Si se cumplen estas condiciones, los atacantes podrían enviar un gran número de peticiones de handshake a un servidor vulnerable y cuando se hayan completado suficientes cálculos, el atacante podría obtener valores secretos parciales y combinar los resultados con el Teorema chino del resto para deducir la clave de descifrado. Este ataque se conoce como “key-recovery attack“.

En el caso de, CVE-2015-3197, es menos importante que la anterior, y a V-1.0.1 V-1.0.2. Puede permitir la modificación no autorizada de las negociaciones con cifrados de cara a forzarlos a través de SSLv2 incluso desactivando el protocolo.

images
Man in the middle

También incluyen una actualización referente a la vulnerabilidad logjam (CVE-2015-4000).

Into the symmetry.  Autor: Antonio Sanso descubridor de la CVE-2016-0714.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s