Nuevas versiones de OpenSSL

Escrito el 18 Junio, 2003 – 10:00 | por storm | 730 lecturas

Se han publicado versiones nuevas de la librería OpenSSL, que solucionan dos graves problemas de seguridad. Concretamente, 0.9.6j y 0.9.7b.

La librería OpenSSL es un desarrollo “Open Source” que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y “hash”, generadores de claves, generadores pseudoaleatorios, etc).

Las versiones no actualizadas de OpenSSL son susceptibles, al menos, a dos tipos de ataque:

– Ataque Klima-Pokorny-Rosa:

Este ataque es una evolución del ataque “Bleichenbacher”, descrito en el boletín de Hispasec del 22 de Febrero de 2001.

El ataque permite obtener el equivalente a una operación criptográfica con la clave secreta del servidor, sin comprometer la seguridad de dicha clave.

Para llevarse a cabo el atacante debe establecer millones de conexiones con el servidor, lo que lo convierte en un ataque poco práctico a través de Internet.

El parche para las versiones no actualizadas de la librería es trivial y está disponible en los enlaces al final de este boletín. No obstante el movimiento más recomendable consiste en actualizar la librería OpenSSL instalada en el sistema.

– Ataque por control de tiempos:

Mediante esta vulnerabilidad, un atacante remoto puede deducir la clave privada de una instalación OpenSSL observando las pequeñas diferencias en el tiempo de ejecución de las operaciones criptográficas a medida que se van introduciendo diferentes argumentos. Este ataque se ha utilizado de forma clásica, por ejemplo, para obtener las claves privadas de las tarjetas inteligentes.

La solución consiste en que las operaciones criptográficas consuman aproximadamente un tiempo similar, independientemente de los datos. Dado que ello supone frenar las operaciones “rápidas” para equipararlas en velocidad a las operaciones “lentas”, en general se producirá una pérdida de rendimiento criptográfico. Oficialmente la penalización en OpenSSL es de unos pocos puntos percentuales, típicamente del orden del 2\% al 10\%, por lo que no debería ser un problema grave.

Nuevamente, el parche para las versiones no actualizadas de la librería es trivial y está disponible en los enlaces al final de este boletín. No obstante el movimiento más recomendable consiste en actualizar la librería OpenSSL instalada en el sistema.

La recomendación de Hispasec es actualizar las instalaciones OpenSSL a las versiones 0.9.6j o 0.9.7b, según la versión instalada. Dado que es una librería, habrá que reiniciar los procesos que la empleen como librería compartida, y recompilar los que hagan uso de ella de forma
estática.

Fuente: http://www.hispasec.com

You must be logged in to post a comment.

Buscar: