Los hackers de hoy se han vuelto inteligentes. Les das un pequeño vacío y lo aprovechan para descifrar tu código. Esta vez, la ira de los hackers ha caído sobre OpenSSL, una biblioteca criptográfica de código abierto, más utilizada por los proveedores de servicios de Internet.
Hoy, OpenSSL ha lanzado una serie de parches para seis vulnerabilidades. Dos de estas vulnerabilidades se consideran muy graves, incluidas CVE-2016-2107 y CVE-2016-2108.
El CVE-2016-2017, una vulnerabilidad grave permite que un hacker inicie un ataque de Oracle de relleno. Padding Oracle Attack puede descifrar el tráfico HTTPS para una conexión a Internet que utiliza el cifrado AES-CBC, con un servidor que admita AES-NI.
Padding Oracle Attack debilita la protección de cifrado al permitir que los piratas informáticos envíen solicitudes repetidas de contenido de texto sin formato sobre un contenido de carga útil cifrado. Esta vulnerabilidad particular fue descubierta por primera vez por Juraj Somorovsky.
Juraj escribió en una publicación de blog: “ Lo que hemos aprendido de estos errores es que parchear bibliotecas criptográficas es una tarea crítica y debe validarse con pruebas positivas y negativas. Por ejemplo, después de reescribir partes del código de relleno CBC, el servidor TLS debe ser probado para un comportamiento correcto con mensajes de relleno no válidos. Espero que TLS-Attacker pueda usarse alguna vez para tal tarea. "
La segunda vulnerabilidad de alta gravedad que había afectado a la biblioteca OpenSSL se llama CVE 2016-2018. Es una falla importante que afecta y corrompe la memoria del estándar OpenSSL ASN.1 que se usa para codificar, decodificar y transferir datos. Esta vulnerabilidad particular permite a los hackers en línea ejecutar y difundir contenido malicioso en el servidor web.
Aunque la vulnerabilidad CVE 2016-2018 se reparó en junio de 2015, el impacto de la actualización de seguridad salió a la luz después de 11 meses. Esta vulnerabilidad particular puede explotarse mediante el uso de certificados SSL personalizados y falsos, debidamente firmados por las autoridades de certificación.
OpenSSL también ha lanzado parches de seguridad para otras cuatro vulnerabilidades menores de desbordamiento al mismo tiempo. Estos incluyen dos vulnerabilidades de desbordamiento, un problema de agotamiento de memoria y un error de baja gravedad que resultó en la devolución de datos arbitrarios de la pila en el búfer.
Las actualizaciones de seguridad se han lanzado para OpenSSl versión 1.0.1 y OpenSSl versión 1.0.2. Para evitar más daños a las bibliotecas de cifrado de OpenSSL, se recomienda a los administradores que actualicen los parches lo antes posible.
Esta noticia fue publicada originalmente en The Hacker News
