OpenSSL parchea un fallo de seguridad que permitía ataques DoS
Clasificada por OpenSSL Project como de "severidad alta", finalmente la vulnerabilidad no ha sido tan grave como Heartbleed, al no poner en riesgo la información privada de los usuarios.
Hace unos días, OpenSSL Project anunció que estaba preparando una actualización para una vulnerabilidad clasificada como de “severidad alta”, despertando así las sospechas de que pudiera tratarse de alguna amenaza catastrófica del tipo Heartbleed, que recibió esa misma clasificación. Pues bien, entre las actualizaciones de seguridad que acaba de publicar figura el parche para dicha vulnerabilidad, que finalmente no ha resultado ser tan peligrosa.
Según los responsables de OpenSSL Project, la vulnerabilidad afecta sólo a la versión 1.0.2 de OpenSSL, dejando al programa vulnerable a ataques de denegación de servicio (DoS), lo que puede obligar a un servidor vulnerable a reiniciarse. “Si un cliente se conecta a un servidor OpenSSL y renegocia con una extensión de algoritmos de una firma inválida, ocurre una desreferencia NULL. Esto puede explotarse en un ataque DoS contra el servidor”, explica la organización. A diferencia de Heartbleed, no pone en riesgo la información privada de los usuarios, aunque sigue siendo una vulnerabilidad crítica que exige la atención prioritaria de los administradores de sistemas.
Por otra parte, a raíz de la confusión que causó el anuncio de que parcharía una vulnerabilidad de “severidad alta”, OpenSSL Project podría cambiar su forma de categorizar las vulnerabilidades. “Necesitamos otra clasificación de seguridad; ésta asustó a todos sin razón”, reconoce Rich Salz, miembro de OpenSSL Project.
