Cabecera-v2-web.jpg

Una vulnerabilidad en LibreSSL permite ataques DoS y ejecución de código


LibreSSL es una de las versiones derivadas de OpenSSL desarrolladas tras la serie de vulnerabilidades crí­ticas detectadas en esta librerí­a. Esta nueva librerí­a pretendí­a ser mucho más segura y robusta que su predecesora, así­ como tener un mantenimiento a la altura que permitiera proteger lo mejor posible las conexiones seguras entre clientes y servidores. Estas librerí­as, al igual que OpenSSL, son de código abierto y garantizan la seguridad y el anonimato de las conexiones frente a las alternativas de código cerrado.

Un grupo de investigadores de seguridad que estudiaban la seguridad de la plataforma OpenSMTPD han descubierto, por error, un fallo de seguridad que afecta a todas las versiones de LibreSSL, incluida la más reciente. Este fallo de seguridad permite una fuga de memoria en los sistemas afectados, lo que puede llegar a facilitar al pirata informático las claves secretas utilizadas durante las conexiones.

Mientras los investigadores de seguridad estudiaban diferentes formas de ejecutar código remoto en OpenSMTPD, empezaron a buscar posibles vulnerabilidades en las librerí­as implementadas en esta herramienta, dándose cuenta de un fallo que permití­a un desbordamiento de búfer en la función OBJ_obj2txt de las librerí­as LibreSSL.

Este fallo de seguridad no es tan grave como los fallos detectados en OpenSSL hace ya un tiempo, pero sí­ podrí­a permitir a piratas informáticos realizar ataques de denegación de servicio y, probablemente, ejecutar código aleatorio en los sistemas afectados.

Según los expertos de seguridad, esta vulnerabilidad afecta a todas las versiones de LibreSSL, incluidas la versión 2.0, primera compilación recomendada para uso público, y la 2.3.0, versión más reciente de la librerí­a publicada hace menos de un mes. Por suerte, OpenSSL no se ha visto afectado por esta vulnerabilidad, por lo que solo deben aplicar las medidas de seguridad aquellos usuarios que utilicen conexiones seguras con las librerí­as afectadas.

Por el momento no hay una solución disponible, aunque el equipo de desarrollo de LibreSSL ha confirmado que ya se encuentra trabajando en solucionarla. El parche de seguridad no tardará en llegar, y una vez lo haga, es de vital importancia que todos los usuarios actualicen sus librerí­as a la última versión para evitar que esta vulnerabilidad, ahora pública, pueda ser utilizada por los piratas informáticos, sin embargo, tal como ha ocurrido en otras ocasiones, la vulnerabilidad ahora es pública, por lo que es muy probable que piratas informáticos busquen diferentes formas de explotarla hasta que se lance la versión definitiva con este fallo solucionado, por lo que se recomienda estar alerta para evitar caer ví­ctimas de este fallo.

Para comprobar si hay una nueva versión y descargarla debemos acceder a su página web principal.



Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11