Descubiertas otras dos vulnerabilidades en OpenSSL

OpenSSL, el conjunto de herramientas y biblioteca de criptografía de uso generalizado, ha sido el blanco de las auditorías de los investigadores de seguridad más que casi ningún otro proyecto, quizá sólo excluyendo al propio Kernel Linux. Esta semana no ha sido una excepción, y de nuevo se han encontrado algunos problemas.

[Actualización del 20 de abril: En las últimas semanas, KernelCare ha publicado parches para CVE-2021-3449 que cubren AlmaLinux OS 8, RHEL 8, Ubuntu 18.04, Ubuntu 20.04, Centos 8, Debian 10, Oracle Linux 8, y para CVE-2021-3450 que cubren AlmaLinux OS 8, Centos 8, Oracle Linux 8, RHEL 8. Si está ejecutando KernelCare en uno de esos sistemas, ya ha recibido los parches].

En lugar de reinventar la rueda cada vez que necesitan un canal de comunicación seguro o realizar una validación de certificados, por ejemplo, los programadores confían en la probada biblioteca OpenSSL. Disfrutan de la facilidad de uso y la amplia adopción, incluso entre sistemas operativos y arquitecturas, de no tener que preocuparse por estas funcionalidades comunes y centrarse en los objetivos centrales de la aplicación.

Por eso, cada vez que saltan las alarmas en torno a OpenSSL, muchos prestan atención y se lo toman en serio. Esta misma semana se han revelado dos nuevas vulnerabilidades, CVE-2021-3449 y CVE-2021-3450, que afectan a todas las versiones de OpenSSL en la rama 1.1.1. Estas son las versiones incluidas en varios sistemas operativos como RHEL 8, lo que significa que los sistemas que las ejecutan deberían actualizar OpenSSL lo antes posible, ya que OpenSSL 1.1.1k contiene la corrección para ambos problemas. 

La primera vulnerabilidad, CVE-2021-3449, es una posible vulnerabilidad de Denegación de Servicio (DoS), donde un actor malicioso podría bloquear una aplicación de servidor (por ejemplo, un servidor web o de correo electrónico) que está utilizando TLSv1.2 configurado para la renegociación - por desgracia, este es el comportamiento por defecto, por lo que a menos que un cambio de configuración se estableció explícitamente, cualquier software que utiliza TLSv1.2 podría bloquearse de forma remota. El problema proviene de una falta de validación de parámetros en una ruta de código específica, que podría conducir a un puntero NULL que se utiliza - desencadenando inmediatamente el accidente.

La segunda vulnerabilidad, CVE-2021-3450, permite que los programas que utilizan versiones vulnerables de OpenSSL acepten como certificados de CA (Autoridad de Certificación) certificados especialmente diseñados, lo que significa que toda la validación y las garantías derivadas de tener una cadena de confianza de certificados se eliminan potencialmente, haciendo que los certificados falsos aparezcan como certificados reales y fiables.

El equipo de KernelCare ya ha empezado a trabajar en los parches, y deberían estar disponibles a principios de la próxima semana para los sistemas afectados que ejecuten KernelCare. Este post se actualizará con la disponibilidad de parches específicos para cada sistema operativo a medida que se vayan completando.