La vulnerabilidad de OpenSSL temida como "crítica" es menos grave de lo esperado
Ya están disponibles los tan esperados parches de OpenSSL para corregir un agujero de seguridad de gravedad crítica. Los nuevos parches de OpenSSL han reducido la gravedad del fallo de crítica a alta.
El fallo Heartbleed era un error de fuga de datos en OpenSSL que podían activar clientes y usuarios aleatorios de Internet contra servidores de casi cualquier lugar.
OpenSSL 1.1.1 se actualiza a la versión 1.1.1s y corrige un fallo de seguridad de la lista, pero este fallo carece de clasificación de seguridad o número CVE oficial, mientras que OpenSSL 3.0 se actualiza a la versión 3.0.7 y corrige no uno, sino dos fallos con número CVE, ambos descritos oficialmente como de gravedad alta. Mientras se publicaba un parche para CVE-2022-3602, se descubrió un nuevo fallo similar, CVE-2022-3786.
Hasta la publicación del parche, se desconocían en gran medida las vulnerabilidades específicas de CVE-2022-37786 y CVE-2022-3602, pero los analistas de seguridad web y las empresas indicaron que podría haber problemas importantes y dolores de mantenimiento. Algunas distribuciones de Linux, como Fedora, retrasaron el lanzamiento hasta que el parche estuviera disponible. Mientras tanto, estas vulnerabilidades afectan principalmente a los clientes, no a los servidores.
Los usuarios deben utilizar ahora OpenSSL 1.1.1s u OpenSSL 3.0.7 para sustituir la versión que estén utilizando, ya que 1.1.1s ha recibido un parche de seguridad. 3.0.7 también recibe correcciones para las dos vulnerabilidades de gravedad ALTA numeradas como CVE. La versión 1.0.2 seguirá recibiendo soporte y actualizaciones, pero sólo para los clientes que hayan firmado contratos con el equipo.
Según una entrada de blog del equipo de seguridad de OpenSSL, las organizaciones probaron y proporcionaron información en aproximadamente una semana. En algunas distribuciones de Linux, el desbordamiento de 4 bytes que era posible en un ataque sobrescribía un búfer adyacente que aún no se había utilizado, lo que impedía una caída del sistema o la ejecución de código. El otro fallo sólo permitía a un atacante cambiar la longitud de un desbordamiento, no su contenido.
Entre las fuentes de este artículo figura un artículo de ArsTechnica.