Cabecera-v2-web.jpg

Disponible el nuevo LibreSSL 2.3 con mejoras en la seguridad de las conexiones



Hace algún tiempo se descubrieron varias vulnerabilidades crí­ticas en OpenSSL, librerí­as libres más utilizadas de la red para establecer conexiones seguras. Tras estas vulnerabilidades muchas empresas y desarrolladores empezaron a plantearse sobre si la seguridad y el mantenimiento de estas librerí­as era suficiente o se debí­an buscar nuevas alternativas para proteger las conexiones de los usuarios en los tiempos modernos. Google fue una de las empresas que desarrolló un proyecto derivado de OpenSSL (BoringSSL) mantenido por él, aunque no ha sido el único.

Logotipo LibreSSL


Los desarrolladores del proyecto OpenBSD también decidieron hacer un fork del proyecto OpenSSL original y poder crear y mantener así­ sus propias librerí­as libres SSL. Este nuevo proyecto se llamó LibreSSL, y en poco tiempo ha recibido un gran mantenimiento y un gran recibimiento por parte de la comunidad.

Hace algunas horas los responsables del proyecto liberaban la nueva versión 2.3 de LibreSSL con interesantes novedades, entre las que cabe destacar la eliminación completa del protocolo SSLv3. También se ha eliminado el soporte para el algoritmo SHA-0 (obsoleto y vulnerable desde 2004) y se han solucionado numerosos fallos de seguridad que habí­an sido detectados y reportados en las últimas semanas de desarrollo.

Otros cambios que se han implementado en esta nueva versión de la librerí­a son:

  • Actualización de la API libtls a la versión 2.2 que mejora la lectura y la escritura con eventos externos de otras librerí­as. También se ha mejorado la verificación del lado del cliente, que ahora es compatible con el cliente que generó el certificado en el servidor.
  • Se ha mejorado la seguridad de las claves DSA sin parámetros DH solucionando unos fallos de aleatoriedad predecible.
  • Se ha solucionado un fallo de seguridad en el ECDH_compute_key que podí­a forzar a las librerí­as a utilizar claves cortas e inseguras.
  • Se ha eliminado el soporte DTLS_BAD_VER y Pre-DTLSv1.
  • Se han eliminado varias dependencias inseguras derivadas de OpenSSL gracias a la creación de nuevos complementos y funciones.

Los desarrolladores ya trabajan en la versión estable de la ABI/API de este nuevo LibreSSL 2.3, la cual, según informan, estará disponible alrededor de marzo de 2016. Por el momento todos los usuarios que utilizan estas librerí­as para establecer sus conexiones seguras deberán actualizarlas desde su gestor de actualizaciones (o instalarlas a mano) para poder mejorar su seguridad y evitar que piratas informáticos puedan explotar las debilidades de las conexiones SSL para comprometer nuestras conexiones.

Podemos obtener más información sobre esta nueva versión de las librerí­as y sobre el desarrollo de la ABI/API desde el siguiente enlace. El proyecto LibreSSL continuará mejorando como librerí­a libre para conexiones seguras SSL con el fin de convertirse en una opción fiable, segura y de gran mantenimiento para todo tipo de conexiones modernas utilizando siempre prácticas de programación seguras.



Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11