Cabecera-v2-web.jpg

Actualización crí­tica de OpenSSL


OCSP (Online Certificate Status Protocol) es un protocolo cuyo objetivo es el de verificar que un certificado digital de una web determinada es válido, y que no ha sido revocado, OCSP utiliza otros métodos que no son el uso de CRL (Lista de Revocación de Certificados).

El investigador de seguridad Shi Lei, de Qihoo 360 de China, ha encontrado una vulnerabilidad crí­tica de denegación de servicio en OpenSSL en la forma en que implementa OCSP y puede ser explotada si se utiliza la configuración por defecto e incluso si OpenSSL no soporta OCSP .

Esta vulnerabilidad ha sido catalogada como la más crí­tica de los últimos 14 años, su identificador es CVE-2016-6304 y puede ser explotada remotamente. La vulnerabilidad consiste en que se pueden enviar grandes paquetes "OCSP Status Request" a un determinado servidor durante la negociación de la conexión, esto causarí­a un consumo tan elevado de memoria que podrí­a provocar una denegación de servicio en el servidor.

Es necesario actualizar la librerí­a a la última versión OpenSSL 1.1.0a y, si no se puede actualizar, es posible mitigar este fallo con la opción "no-ocsp" o directamente filtrarlo en el IDS/IPS de la organización.

Además de este fallo, OpenSSL 1.1.0a soluciona otras 14 vulnerabilidades entre las que se encuentran las de SWEET32, publicada el mes pasado y que afecta a los protocolos Triple-DES (3DES) y Blowfish.

Un detalle muy importante es que la versión OpenSSL 1.0.1 dejará de tener soporte a finales de este año, por lo que es recomendable migrar a la versión de OpenSSL 1.0.2 e incluso a la 1.1.0.


Fuente: blog.segu-info.com.ar


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11