La primera ronda de actualizaciones de seguridad lanzada en 2018 para OpenSSL parcha un total de tres vulnerabilidades, pero ninguna de ellas parece ser grave, dijeron profesionales de seguridad de la información.
OpenSSL versiones 1.1.0h y 1.0.2o parcha CVE-2018-0739, una vulnerabilidad de denegación de servicio (DoS) descubierta utilizando el servicio OSS-Fuzz de Google, que ha ayudado a encontrar varios defectos en OpenSSL en el último período.
El agujero de seguridad, calificado como “moderado”, está relacionado con los tipos ASN.1 construidos con una definición recursiva.
“Los tipos construidos de ASN.1 con una definición recursiva (como la que se puede encontrar en PKCS7) podrían eventualmente exceder la pila de entrada maliciosa con recursividad excesiva”, dice OpenSSL Project en su aviso.
Otra vulnerabilidad, que solo afecta a la rama 1.1.0, es CVE-2018-0733. Los analistas de seguridad de la información dijeron que esto es un error de implementación en la función PA-RISC CRYPTO_memcmp, y que permite a un atacante forjar mensajes autenticados más fáciles de lo que debería ser.
OpenSSL Project se enteró de esta vulnerabilidad a principios de marzo desde IBM. Solo los sistemas HP-UX PA-RISC se ven afectados.
OpenSSL 1.1.0h también corrige un error de desbordamiento que podría permitir a un atacante acceder a las comunicaciones protegidas por TLS. La vulnerabilidad, CVE-2017-3738, se reveló por primera vez en diciembre de 2017, pero como no es fácil llevar a cabo un ataque, se le ha asignado una calificación baja de gravedad y solo se ha aplicado un parche ahora.
Los analistas de seguridad de la información dijeron que se lanzaron cuatro rondas de actualizaciones de seguridad para OpenSSL el año pasado, y solo una de las ocho vulnerabilidades corregidas se clasificó como de alta gravedad.