Actualización crítica de OpenSSL 1.1.0a
OCSP (Online Certificate Status Protocol) es un protocolo cuyo objetivo es el de verificar que un certificado digital de una web determinada es válido, y que no ha sido revocado, OCSP utiliza otros métodos que no son el uso de CRL (Lista de Revocación de Certificados).
El investigador de seguridad Shi Lei, de Qihoo 360 de China, ha encontrado una vulnerabilidad crítica de denegación de servicio en OpenSSL en la forma en que implementa OCSP y puede ser explotada si se utiliza la configuración por defecto e incluso si OpenSSL no soporta OCSP .
Esta vulnerabilidad ha sido catalogada como la más crítica de los últimos 14 años, su identificador es CVE-2016-6304 y puede ser explotada remotamente. La vulnerabilidad consiste en que se pueden enviar grandes paquetes «OCSP Status Request» a un determinado servidor durante la negociación de la conexión, esto causaría un consumo tan elevado de memoria que podría provocar una denegación de servicio en el servidor.
Es necesario actualizar la librería a la última versión OpenSSL 1.1.0a y, si no se puede actualizar, es posible mitigar este fallo con la opción «no-ocsp» o directamente filtrarlo en el IDS/IPS de la organización.
Además de este fallo, OpenSSL 1.1.0a soluciona otras 14 vulnerabilidades entre las que se encuentran las de SWEET32, publicada el mes pasado y que afecta a los protocolos Triple-DES (3DES) y Blowfish.
Un detalle muy importante es que la versión OpenSSL 1.0.1 dejará de tener soporte a finales de este año, por lo que es recomendable migrar a la versión de OpenSSL 1.0.2 e incluso a la 1.1.0.
Actualización 26/09/2016: ya se ha publicado la versión 1.1.0b
Fuente: Segu-info.com.ar