OpenSSL se está preparando para parchear (se abre en una pestaña nueva) su primera falla crítica en ocho años. El Proyecto OpenSSL ha anunciado una nueva actualización de software que se espera corrija múltiples vulnerabilidades en el conjunto de herramientas de código abierto, incluida una falla que ha sido calificada como crítica.
“El equipo del proyecto OpenSSL desea anunciar el próximo lanzamiento de la versión 3.0.7 de OpenSSL. Esta versión estará disponible el martes 1 de noviembre de 2022 entre las 1300 y las 1700 UTC. reproduce el anuncio (se abre en una nueva pestaña). “OpenSSL 3.0.7 es una versión de parche de seguridad. El problema más grave solucionado en esta versión es CRÍTICO. »
"Los ejemplos incluyen la divulgación significativa de los contenidos de la memoria del servidor (potencialmente revelando detalles del usuario), vulnerabilidades que pueden explotarse fácilmente de forma remota para comprometer las claves privadas del servidor o cuando se considera probable la ejecución remota de código en situaciones comunes", dijeron los desarrolladores.
El parche llegará el próximo mes
La falla afecta a las versiones 3.0 y posteriores, y es la segunda vulnerabilidad crítica abordada por OpenSSL Project, siendo Heartbleed (CVE-2014-0160) la primera en 2014.
La fecha de lanzamiento de la versión 3.0.7 ahora está fijada para el 1 de noviembre. Los desarrolladores lo describen como un "lanzamiento de parche de seguridad". Paralelamente, habrá una versión de corrección de errores, 1.1.1s, lanzada el mismo día.
El CTO de Sonatype, Brian Fox, no parece contento con la forma en que OpenSSL Project ha abordado el problema, diciendo que pone a los desarrolladores en una posición peligrosa:
“Todo lo que sabemos hasta ahora es que el equipo calificó el problema como crítico, solo la segunda vulnerabilidad crítica en OpenSSL desde que comenzaron a rastrear después del error Heartbleed y las consecuencias en 2014. Sabemos que esto solo parece afectar 3.0 y superior, pero no cómo ampliamente aplicable o fácilmente explotable será este problema, y que se dará a conocer en su totalidad el 1 de noviembre.
Luego hace tres preguntas hipotéticas: si una empresa se entera de una nueva vulnerabilidad, por la forma en que OpenSSL Project acaba de anunciarla, ¿cuánto tiempo le tomaría a un profesional de TI averiguar si su empresa usa alguna versión de este componente, en cualquier lugar? en su cartera, en qué aplicaciones usa las versiones afectadas y cuánto tiempo hasta que la empresa pueda solucionar el problema, lo que sugiere que un desastre potencial está en el horizonte.
“Si no puede responder inmediatamente a las tres preguntas que planteé anteriormente, tiene seis días para prepararse”, advierte. "El reloj está girando".
Mientras tanto, el miembro del equipo central de OpenSSL, Mark J. Cox, dice que con tan pocos detalles sobre la vulnerabilidad, las posibilidades de que los delincuentes abusen de ella antes de que se parchee son escasas. Notificar a los equipos de TI de la llegada del parche supera con creces los riesgos potenciales de que los estafadores abusen de la falla, sugiere:
"Dada la cantidad de cambios en la versión 3.0 y la falta de cualquier otra información de fondo, es muy poco probable”, tuiteó.
Через: Вопросы безопасности (откроется в новой вкладке)