Nuevas versiones de OpenSSL


Se han publicado versiones nuevas de la librería OpenSSL, que solucionan dos graves problemas de seguridad. Concretamente, 0. .6j y 0.9.7b.





La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

Las versiones no actualizadas de OpenSSL son susceptibles, al menos, a
dos tipos de ataque:

- Ataque Klima-Pokorny-Rosa:

Este ataque es una evolución del ataque "Bleichenbacher", descrito en
el boletín de Hispasec del 22 de Febrero de 2001.

El ataque permite obtener el equivalente a una operación
criptográfica con la clave secreta del servidor, sin comprometer la
seguridad de dicha clave.

Para llevarse a cabo el atacante debe establecer millones de
conexiones con el servidor, lo que lo convierte en un ataque
poco práctico a través de Internet.

El parche para las versiones no actualizadas de la librería es
trivial y está disponible en los enlaces al final de este boletín.
No obstante el movimiento más recomendable consiste en actualizar
la librería OpenSSL instalada en el sistema.

- Ataque por control de tiempos:

Mediante esta vulnerabilidad, un atacante remoto puede deducir la
clave privada de una instalación OpenSSL observando las pequeñas
diferencias en el tiempo de ejecución de las operaciones
criptográficas a medida que se van introduciendo diferentes
argumentos. Este ataque se ha utilizado de forma clásica, por
ejemplo, para obtener las claves privadas de las tarjetas
inteligentes.

La solución consiste en que las operaciones criptográficas consuman
aproximadamente un tiempo similar, independientemente de los datos.
Dado que ello supone frenar las operaciones "rápidas" para
equipararlas en velocidad a las operaciones "lentas", en general
se producirá una pérdida de rendimiento criptográfico. Oficialmente
la penalización en OpenSSL es de unos pocos puntos percentuales,
típicamente del orden del 2% al 10%, por lo que no debería ser un
problema grave.

Nuevamente, el parche para las versiones no actualizadas de la
librería es trivial y está disponible en los enlaces al final de este
boletín. No obstante el movimiento más recomendable consiste en
actualizar la librería OpenSSL instalada en el sistema.

La recomendación de Hispasec es actualizar las instalaciones OpenSSL a
las versiones 0.9.6j o 0.9.7b, según la versión instalada. Dado que es
una librería, habrá que reiniciar los procesos que la empleen como
librería compartida, y recompilar los que hagan uso de ella de forma
estática.


Más Información:

OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/

Timing-based attacks on RSA keys
http://www.openssl.org/news/secadv_20030317.txt

N-061: OpenSSL Timing-based Attacks on RSA Keys
http://www.ciac.org/ciac/bulletins/n-061.shtml

Multiple Security Vulnerabilities in OpenSSL
ftp://patches.sgi.com/support/free/security/advisories/20030501-01-I

OpenSSL and other crypto library timming attack vulenrability
http://www.securitybugware.org/Other/6066.html

Remote timing attacks are practical
http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html

Remote RSA Timing Attacks Practical
http://slashdot.org/article.pl?sid=03/03/14/0012214

Klima-Pokorny-Rosa attack on RSA in SSL/TLS
http://www.openssl.org/news/secadv_20030319.txt

Report "Attacking RSA-based Sessions in SSL/TLS" by V. Klima, O.
Pokorny, and T. Rosa:
http://eprint.iacr.org/2003/052/

The Common Vulnerabilities and Exposures project (cve.mitre.org) has
assigned the name CAN-2003-0131 to this issue.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131

Recuperación de clave de sesión en SSH-1
http://www.hispasec.com/unaaldia/851


Fuente: Hispasec

Otras noticias de interés:

China bloquea el acceso tambien al buscador Altavista
Después del bloqueo a Google, el Gobierno chino bloqueó el acceso al motor de búsqueda Altavista.com, según informaron usuarios de la Red....
Sophos ofrece herramienta gratis contra ataque Windows
Sophos ha desarrollado una herramienta gratuita diseñada para bloquear los ataques de acceso directo contra aún brecha en Windows aún no parcheada por Microsoft....
Curso de PHP en Caracas - Venezuela
El próximo 16 y 17 de agosto de este año, la Gente de PHP de Venezuela organiza un curso Nivel I (para principiantes)....
IBM Fabricará el Computador más rápido del mundo
El Gobierno de EE.UU. ha encargado al gigante informático dos superordenadores cuya potencia combinada iguale a la de las 500 máquinas más rápidas de la actualidad....
La seguridad corporativa necesita cambios
Las transformaciones tecnológicas, como la movilidad o la virtualización, abren huecos en la seguridad de las organizaciones que pueden ser aprovechados por los cibercriminales, según un informe de Cisco....
Internet Explorer 8 no permite el acceso a Windows Update
Microsoft publicó hace unos días la Beta 1 de Internet Explorer 8, y dejando de lado que se trata de una versión inestable y que no se recomienda para su uso, resulta curioso que uno de los problemas que se han reportado es que Internet Explorer 8...
NOD32 detecta variantes del exploit VML y gusano Stration
Eset, informó hoy que una nueva variante del exploit de VML continúa propagándose por Internet durante los últimos días, y que nuevas variantes del gusano de correo electrónico Stration comienzan a propagarse por América Latina....
Insolito, Apple considera a Opera para mayores de 17 años
Leo en el portal theinquirer.es un escrito de Helga Yagüe, donde hace referencia a una nota publicada en opera.com. en la cual Apple acepta en su Mac App Store a el navegador Opera, pero solo podrá ser usado por mayores de 17 años....
Botnet Dorkbot infecta 81.000 PC
Eset ha denunciado que 81.000 equipos están controlados por la botnet Dorkbot, una de las más grandes de Latinoamérica. El virus se está propagando por redes sociales y permite el robo de credenciales de los usuarios y la utilización de sus equi...
Preguntas Frecuentes sobre TCPA y Palladium
A continuación mostramos fragmentos de un interesante artículo publicado en bulmalug.net sobre TCPA y Palladium el cual recomendamos....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevas
  • opensource
  • openssl
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • versiones
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra