OpenSSL, una biblioteca de cifrado ampliamente utilizada, corrige vulnerabilidades graves

Los sitios web y las empresas que confían en OpenSSL deben parchear sus sistemas lo antes posible.

El desarrollador de Open SSL, una biblioteca de cifrado de código abierto ampliamente utilizada, lanzó el martes un parche para solucionar dos problemas de seguridad de alta gravedad que podrían permitir a los atacantes ejecutar código nuevo de forma remota o causar fallas en el sitio web.

OpenSSL Project anunció la semana pasada una actualización de corrección de seguridad para solucionar un problema originalmente categorizado como «crítico». Después de un análisis más detallado, la gravedad se redujo a «alta» hoy con el lanzamiento del parche.

Según OpenSSL, un problema de gravedad crítica si «la ejecución remota de código se considera probable en situaciones comunes», pero el equipo de OpenSSL dijo que ya no cree que la calificación se aplique al problema.

«No tenemos conocimiento de ningún exploit funcional que pueda conducir a la ejecución remota de código, y no tenemos evidencia de que estos problemas se exploten al momento de la publicación de esta publicación», dijo OpenSSL en una publicación de blog.

Las vulnerabilidades solo afectan a las versiones 3.0 de OpenSSL (lanzadas en septiembre de 2021) y posteriores. Se anima a los usuarios a actualizar a la versión 3.0.7.

«Todavía consideramos que estos problemas son vulnerabilidades graves y se recomienda a los usuarios afectados que actualicen lo antes posible», dijo OpenSSL.

¿Qué problemas solucionó OpenSSL?

OpenSSL parchó dos errores de seguridad. La falla originalmente categorizada como crítica es un desbordamiento arbitrario del apilador de 4 bytes, lo que podría permitir a los piratas informáticos ejecutar código nuevo de forma remota o causar fallas en el sitio web.

«No tenemos conocimiento de ningún exploit funcional que pueda conducir a la ejecución remota de código, y no tenemos evidencia de que estos problemas se exploten al momento de la publicación de esta publicación», dijo OpenSSL.

La segunda falla podría permitir a los atacantes enviar correos electrónicos con certificados maliciosos para bloquear sitios web.

¿Para qué se utiliza OpenSSL?

OpenSSL es una biblioteca de códigos ampliamente utilizada para proporcionar comunicaciones seguras a través de Internet y proteger datos confidenciales como correos electrónicos, contraseñas o datos de tarjetas de crédito. Muchos servidores de Internet dependen del software.

¿Qué significa OpenSSL?

OpenSSL implementa los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL) utilizados para cifrar datos confidenciales.

Lanzado por primera vez en 1998, el software cambió su nombre antes de hacerse público porque el acrónimo SSL era más reconocido que TLS.

¿Cuál es la diferencia entre SSL y TLS?

TLS es un protocolo de red que establece una conexión cifrada para proteger la información privada enviada por Internet, mientras que SSL es una versión anterior y menos segura.

Los usuarios de la web pueden notar el cifrado TSL/SSL cuando inician sesión en su correo electrónico o cuenta bancaria en línea y ven un pequeño icono de candado junto a «HTTPS». El icono de candado indica que terceros no podrán leer la información enviada o recibida.

¿OpenSSL es gratis?

«OpenSSL tiene una licencia de estilo Apache, lo que básicamente significa que puede obtenerlo y usarlo con fines comerciales y no comerciales, sujeto a algunas condiciones de licencia simples», según OpenSSL.

¿Cuál fue la falla OpenSSL Heartbleed?

En 2014, los investigadores de seguridad descubrieron una importante vulnerabilidad en OpenSSL, denominada Heartbleed. La falla permitía que cualquiera leyera la memoria de los servidores que se ejecutan en OpenSSL y afectó a empresas como Yahoo, Google, Facebook y Tumblr.

Desde entonces, la última vulnerabilidad crítica en OpenSSL se detectó en 2016.

(c)2022 EE.UU. Hoy en día
Distribuido por Tribune Content Agency, LLC.