Nuevas versiones de OpenSSL


Se han publicado versiones nuevas de la librería OpenSSL, que solucionan dos graves problemas de seguridad. Concretamente, 0. .6j y 0.9.7b.





La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

Las versiones no actualizadas de OpenSSL son susceptibles, al menos, a
dos tipos de ataque:

- Ataque Klima-Pokorny-Rosa:

Este ataque es una evolución del ataque "Bleichenbacher", descrito en
el boletín de Hispasec del 22 de Febrero de 2001.

El ataque permite obtener el equivalente a una operación
criptográfica con la clave secreta del servidor, sin comprometer la
seguridad de dicha clave.

Para llevarse a cabo el atacante debe establecer millones de
conexiones con el servidor, lo que lo convierte en un ataque
poco práctico a través de Internet.

El parche para las versiones no actualizadas de la librería es
trivial y está disponible en los enlaces al final de este boletín.
No obstante el movimiento más recomendable consiste en actualizar
la librería OpenSSL instalada en el sistema.

- Ataque por control de tiempos:

Mediante esta vulnerabilidad, un atacante remoto puede deducir la
clave privada de una instalación OpenSSL observando las pequeñas
diferencias en el tiempo de ejecución de las operaciones
criptográficas a medida que se van introduciendo diferentes
argumentos. Este ataque se ha utilizado de forma clásica, por
ejemplo, para obtener las claves privadas de las tarjetas
inteligentes.

La solución consiste en que las operaciones criptográficas consuman
aproximadamente un tiempo similar, independientemente de los datos.
Dado que ello supone frenar las operaciones "rápidas" para
equipararlas en velocidad a las operaciones "lentas", en general
se producirá una pérdida de rendimiento criptográfico. Oficialmente
la penalización en OpenSSL es de unos pocos puntos percentuales,
típicamente del orden del 2% al 10%, por lo que no debería ser un
problema grave.

Nuevamente, el parche para las versiones no actualizadas de la
librería es trivial y está disponible en los enlaces al final de este
boletín. No obstante el movimiento más recomendable consiste en
actualizar la librería OpenSSL instalada en el sistema.

La recomendación de Hispasec es actualizar las instalaciones OpenSSL a
las versiones 0.9.6j o 0.9.7b, según la versión instalada. Dado que es
una librería, habrá que reiniciar los procesos que la empleen como
librería compartida, y recompilar los que hagan uso de ella de forma
estática.


Más Información:

OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/

Timing-based attacks on RSA keys
http://www.openssl.org/news/secadv_20030317.txt

N-061: OpenSSL Timing-based Attacks on RSA Keys
http://www.ciac.org/ciac/bulletins/n-061.shtml

Multiple Security Vulnerabilities in OpenSSL
ftp://patches.sgi.com/support/free/security/advisories/20030501-01-I

OpenSSL and other crypto library timming attack vulenrability
http://www.securitybugware.org/Other/6066.html

Remote timing attacks are practical
http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html

Remote RSA Timing Attacks Practical
http://slashdot.org/article.pl?sid=03/03/14/0012214

Klima-Pokorny-Rosa attack on RSA in SSL/TLS
http://www.openssl.org/news/secadv_20030319.txt

Report "Attacking RSA-based Sessions in SSL/TLS" by V. Klima, O.
Pokorny, and T. Rosa:
http://eprint.iacr.org/2003/052/

The Common Vulnerabilities and Exposures project (cve.mitre.org) has
assigned the name CAN-2003-0131 to this issue.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131

Recuperación de clave de sesión en SSH-1
http://www.hispasec.com/unaaldia/851


Fuente: Hispasec

Otras noticias de interés:

Adobe soluciona 23 fallos en Reader y Acrobat
Coincidiendo con su programa trimestral de actualizaciones de seguridad Adobe anuncia la resolución de un total de 23 vulnerabilidades....
Los dispositivos móviles, un gran dilema de seguridad para los CIO
Los ataques de malware han aumentado su incidencia sobre smartphones y dispositivos móviles, sobre todo por la proliferación de estos terminales en los entornos laborales; un cambio que obliga a los CIO a prestar mayor atención a la protección de...
Nota de prensa oficial de la ISO sobre OOXML
Ya hay resultado oficial en forma de nota de prensa de la propia ISO....
Ejecución de código en IE con "createTextRange"
Se ha reportado una nueva vulnerabilidad en Internet Explorer, la cuál ha sido catalogada como crítica, ya que puede ser explotada por personas maliciosas para comprometer el sistema del usuario afectado....
Vulnerabilidad en Bea WebLogic Server y Express
Bea WebLogic Server y Express se ven afectados en algunas de sus versiones por una vulnerabilidad que podría permitir que la respuestas HTTP puedan ser compartidas entre dos usuarios....
Deface en Oidossucios.com
Oidossucios.com, página de rock venezolana hackeada por brasileños...
Actualización Debian 5.0.4
Nueva versión estable de uno de los sistemas operativos más populares basado en el kernel de Linux y herramientas GNU....
Internet Explorer expone componentes instalados
Una vulnerabilidad en el Internet Explorer 6.0 de Microsoft, permite a terceros comprobar los componentes instalados en la computadora del usuario, a través de documentos HTML construidos maliciosamente (requiere el acceso a un sitio web)....
El dilema SP2 de Windows XP
Tom's Hardware publica hoy un interesante artículo sobre el complicado dilema que deberán afrontar a partir de esta misma semana miles de administradores y usuarios de Windows XP: instalar -o no- SP2....
Actualizaciones críticas de Firefox y Thunderbird
Mozilla Corporation ha publicado las versiones 1.5.0.4 del navegador Firefox y del cliente de correo Thunderbird, las cuáles corrigen importantes problemas de seguridad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevas
  • opensource
  • openssl
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • versiones
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra