OpenSSL parcha una vulnerabilidad de “severidad alta” que permite ataques DoS

OpenSSL ha lanzado una serie de actualizaciones de seguridad, entre ellas un esperado parche crítico para una vulnerabilidad que dejaba al programa vulnerable a ataques de negación de servicio.

El proyecto OpenSSL había anunciado la semana pasada que estaba preparando una actualización para una vulnerabilidad clasificada como de “severidad alta”, lo que había despertado la intriga de la comunidad de seguridad y sospechas de que pudiera tratarse de alguna amenaza devastadora al estilo Heartbleed, que estaba clasificada de la misma manera.

Pero la vulnerabilidad CVE-2015-0291, que OpenSSL parchó esta semana, no llega a ser tan peligrosa como Heartbleed, que habilitaba a los atacantes para que extrajeran contraseñas, llaves privadas y datos confidenciales de servidores de bancos, tiendas virtuales y correos electrónicos.

Esta vulnerabilidad afecta sólo a la versión 1.0.2 de OpenSSL y no pone en riesgo la información privada de los usuarios, pero puede obligar a un servidor vulnerable a reiniciarse. A pesar de sus diferencias con Heartbleed, CVE-2015-0291 sigue siendo una vulnerabilidad crítica que exige la atención prioritaria de los administradores de sistemas.

“Si un cliente se conecta a un servidor OpenSSL y renegocia con una extensión de algoritmos de una firma inválida, ocurre una desreferencia NULL”, explicó la organización. “Esto puede explotarse en un ataque DoS contra el servidor”.

La organización podría cambiar su forma de categorizar las vulnerabilidades a raíz de la alta expectativa y confusión que causó el anuncio de que parcharía una vulnerabilidad de “severidad alta”. “Necesitamos otra clasificación de seguridad; ésta asustó a todos sin razón”, opinó Rich Salz, miembro de OpenSSL Project. “Actualizaremos las regulaciones pronto”, afirmó.

Ver información original al respecto en Fuente:
http://www.viruslist.com/sp/news?id=208275434