Actualizan OpenSSL para solucionar una vulnerabilidad crítica

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Los desarrolladores de OpenSSL no descansan. Desde hace ya varios meses están apareciendo numerosas vulnerabilidades en este software de conexiones seguras que comprometen seriamente la seguridad de los usuarios. Todo empezó con Heartbleed, un fallo de seguridad que expuso a prácticamente todos los servidores de todo el mundo, y tras él han aparecido nuevos fallos de seguridad como Logjam, vulnerabilidades en el cifrado y la posibilidad de realizar ataques DDoS a través de estas librerías.

Hace menos de un mes que la comunidad de desarrolladores de OpenSSL publicó una serie de boletines que solucionaban varios fallos de seguridad en estas librerías actualizándose a 1.0.2b, 1.0.1n, 1.0.0s y 0.9.8zg. En esta ocasión esta librería vuelve a dar que hablar cuando los responsables de su desarrollo han anunciado la disponibilidad de una nueva versión en la que se soluciona un fallo de seguridad muy importante.

Por el momento no se ha publicado mucho más información respecto a la vulnerabilidad que va a ser solucionada para evitar que los piratas informáticos puedan empezar a explotarla antes del parche. Lo que sí es recomendable es actualizar la librería a la versión más reciente tan pronto como esta se encuentre disponible para evitar caer en manos de usuarios malintencionados.

El lanzamiento de las nuevas versiones está previsto para este jueves día 9 de julio y sólo afecta a las versiones 1.0.1 y 1.02, quedando 1.0.0 y anteriores protegidas.

openssl

Las grandes organizaciones buscan alternativas seguras a OpenSSL

Como ya hemos dicho en otras ocasiones grandes compañías han desarrollado alternativas a estas librerías. La última en crear su propia librería ha sido Amazon con S2N, una librería de tan sólo 6.000 líneas de código. Google, por su lado, también ha creado su propia librería TLS llamada BoringSSL como alternativa a OpenSSL.

Esto se debe a que OpenSSL cuenta con más de 500.000 líneas de código lo que hace que sea muy complicado auditar todo el código para asegurarse de que todo funciona correctamente y no existen vulnerabilidades. Tantas líneas permiten que la librería sea compatible con prácticamente cualquier protocolo o servicio donde queramos implementar las conexiones seguras, sin embargo eso también supone un mantenimiento más complicado, un peor rendimiento y, como estamos viendo, un mayor riesgo potencial ante ataques informáticos.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone