Nuevas brechas de seguridad en SSL y TLS

Se ha encontrado un nuevo fallo de seguridad en la biblioteca OpenSSL que si bien no es tan severo como Hertbleed, constituye un nuevo vector de ataque permitiendo interceptar la conexión ignorando la encriptación (ataque man-in-the-middle) mediante claves de seguridad baja. Es un bug que pasó desapercibido durante 16 años, por lo que pudo haber sido aprovechado durante mucho tiempo.

Este descuido en la revisión del código de una biblioteca tan importante como OpenSSL usada en multitud de aplicaciones y que salió a la luz desde Heartbleed, hizo que se hayan tomado varias medidas, como la impulsada por el líder de desarrollo del proyecto OpenBSD, Theo De Raadt, realizando un fork llamado LibreSSL. Luego de unos 30 días de vida de iniciado, el equipo de OpenBSD, con ese particular sentido del humor que los caracteriza, ha publicado una presentación indicando los problemas de seguridad de OpenSSL, las soluciones planteadas y qué pretende este fork.

Y como si esto fuera poco, también informan el fallo de una vulnerabilidad en GnuTLS el miércoles pasado. Este bug fue descubierto también por la empresa Codenomicon, responsable también de la publicación de Heartbleed. Esta vulnerabilidad está relacionada con la respuesta que da el servidor durante el hanshake TLS en cuanto al identificador de sesión. No se comprueba su longitud en el mensaje ServerHello, por lo que se podría enviar un mensaje excesivamente largo con el fin de producir un desbordamiento de buffer. La explotación se logra enviados desde el servidor paquetes con un payload modificado hacia los clientes que establecen conexiones HTTPS. Ya hay una prueba de concepto. El proyecto GnuTLS ya ha publicado un parche para solventar este fallo de seguridad.

Recomendamos en todos estos casos, actualizar a la brevedad.