Vulnerabilidad alta en OpenSSL

CSIRT Panamá Aviso 2016-01- Vulnerabilidad alta en OpenSSL
Gravedad: Alta
Fecha de publicación: Enero 29, 2016
Fecha de modificación: Enero 29, 2016
Última revisión: Revisión A.
Fuente: OpenSSL

Sistemas Afectados
OpenSSL versión 1.0.2, 1.0.2a, 1.0.2b, 1.0.2c, 1.0.2d, 1.0.2e

I. Descripción
La vulnerabilidad de severidad alta permite que atacantes puedan obtener la llave que descifra las comunicaciones seguras en HTTPS y otros canales de la Capa de Transporte de Seguridad (TLS por sus siglas en inglés).

II.Mitigación
Las personas que estén utilizando OpenSSL versión 1.0.2 deben actualizar
a la versión 1.0.2f.
Es importante recalcar que el soporte para la versión 1.0.1 terminará en diciembre de 2016 y el soporte de las versiones 0.9.8 y 1.0.0 terminaron
en diciembre de 2015. Esto significa que no se tendrá disponibilidad a arreglos de seguridad al encontrarse alguna vulnerabilidad.

II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Pérdida de la confidencialidad en las comunicaciones HTTPS.

III. Referencia a soluciones, herramientas e información

  • https://www.openssl.org/news/secadv/20160128.txt
  • https://www.openssl.org/news/cl102.txt

IV. Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://www.cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124