Menú de contenidos Cerrar

Noticias

OpenSSL parcha una vulnerabilidad de “severidad alta” que permite ataques DoS

Noticias

lectura de un minuto

Autores

OpenSSL ha lanzado una serie de actualizaciones de seguridad, entre ellas un esperado parche crítico para una vulnerabilidad que dejaba al programa vulnerable a ataques de negación de servicio.

El proyecto OpenSSL había anunciado la semana pasada que estaba preparando una actualización para una vulnerabilidad clasificada como de “severidad alta”, lo que había despertado la intriga de la comunidad de seguridad y sospechas de que pudiera tratarse de alguna amenaza devastadora al estilo Heartbleed, que estaba clasificada de la misma manera.

Pero la vulnerabilidad CVE-2015-0291, que OpenSSL parchó esta semana, no llega a ser tan peligrosa como Heartbleed, que habilitaba a los atacantes para que extrajeran contraseñas, llaves privadas y datos confidenciales de servidores de bancos, tiendas virtuales y correos electrónicos.

Esta vulnerabilidad afecta sólo a la versión 1.0.2 de OpenSSL y no pone en riesgo la información privada de los usuarios, pero puede obligar a un servidor vulnerable a reiniciarse. A pesar de sus diferencias con Heartbleed, CVE-2015-0291 sigue siendo una vulnerabilidad crítica que exige la atención prioritaria de los administradores de sistemas.

“Si un cliente se conecta a un servidor OpenSSL y renegocia con una extensión de algoritmos de una firma inválida, ocurre una desreferencia NULL”, explicó la organización. “Esto puede explotarse en un ataque DoS contra el servidor”.

La organización podría cambiar su forma de categorizar las vulnerabilidades a raíz de la alta expectativa y confusión que causó el anuncio de que parcharía una vulnerabilidad de “severidad alta”. “Necesitamos otra clasificación de seguridad; ésta asustó a todos sin razón”, opinó Rich Salz, miembro de OpenSSL Project. “Actualizaremos las regulaciones pronto”, afirmó.

Fuentes
OpenSSL warns of two high-severity bugs, but no Heartbleed Ars Technica
OpenSSL fixes serious denial-of-service bug, 11 other flaws Network World
OpenSSL patches "high" severity flaws in latest release ZDNet

Autores

OpenSSL parcha una vulnerabilidad de “severidad alta” que permite ataques DoS

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    BlindEagle vuela alto en LATAM

    Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada