OpenSSL han publicado un parche para dos fallos de seguridad graves en su software que podían aprovecharse para realizar ataques de denegación de servicio (DoS) y eludir la verificación de certificados.
OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web.
Identificados como CVE-2021-3449 y CVE-2021-3450, ambas vulnerabilidades han sido parcheadas en una actualización (versión OpenSSL 1.1.1k) publicada el jueves. Mientras que CVE-2021-3449 afecta a todas las versiones de OpenSSL 1.1.1, CVE-2021-3450 afecta a las versiones de OpenSSL 1.1.1h y posteriores.
Según un aviso publicado por OpenSSL, CVE-2021-3449 se refiere a una posible vulnerabilidad de denegación de servicio (DoS) debida a la desreferenciación de punteros NULL que puede hacer que un servidor TLS de OpenSSL se cuelgue, si, en el curso de la renegociación, el cliente transmite un mensaje «ClientHello» malicioso durante el «handshake» entre el servidor y un usuario. El problema se introdujo como parte de los cambios que se remontan a enero de 2018.
CVE-2021-3450, por su parte, se refiere a un «flag» X509_V_FLAG_X509_STRICT que permite realizar comprobaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. Aunque esta bandera no está activada por defecto, un error en la implementación hacía que OpenSSL no comprobara que «los certificados no CA no deben poder emitir otros certificados», lo que daba lugar a un bypass de certificados.
Como resultado, el fallo impedía que las aplicaciones rechazaran los certificados TLS que no estuvieran firmados digitalmente por una autoridad de certificación (CA) de confianza del navegador.
Aunque ninguno de los dos problemas afecta a OpenSSL 1.0.2, también hay que tener en cuenta que la versión está fuera de soporte desde el 1 de enero de 2020 y ya no recibe actualizaciones. Se recomienda a las aplicaciones que dependen de una versión vulnerable de OpenSSL que apliquen los parches para mitigar el riesgo asociado a los fallos.
Más información:
https://thehackernews.com/2021/03/openssl-releases-patches-for-2-high.html
https://www.openssl.org/news/vulnerabilities.html
Fuente: Hispasec.com