OpenSSL se está preparando para parchear (se abre en una pestaña nueva) su primer defecto crítico en ocho años. El Proyecto OpenSSL ha anunciado una nueva actualización de software que debería corregir varias vulnerabilidades en el conjunto de herramientas de código abierto, incluida una falla definida como crítica.
“El equipo del proyecto OpenSSL desea anunciar el próximo lanzamiento de la versión 3.0.7 de OpenSSL. Esta versión estará disponible el martes 1 de noviembre de 2022 entre las 1300 y las 1700 UTC”. lee el anuncio (se abre en una pestaña nueva). “OpenSSL 3.0.7 es una versión de corrección de seguridad. El problema de mayor gravedad solucionado en esta versión es CRÍTICO”.
“Los ejemplos incluyen la divulgación significativa del contenido de la memoria del servidor (potencialmente revelando detalles del usuario), vulnerabilidades que pueden explotarse fácilmente de forma remota para comprometer las claves privadas del servidor o donde la ejecución remota de código se considera probable en situaciones comunes”, dijeron los desarrolladores.
El parche llegará el próximo mes
La falla afecta a las versiones 3.0 y posteriores, y es la segunda vulnerabilidad crítica que aborda el Proyecto OpenSSL, siendo Heartbleed (CVE-2014-0160) la primera en 2014.
La fecha de lanzamiento de la versión 3.0.7 ahora está fijada para el 1 de noviembre. Los desarrolladores lo describen como un «lanzamiento de corrección de seguridad». Paralelamente, habrá una versión de corrección de errores, 1.1.1s, publicada el mismo día.
Anunciar la existencia de una falla grave, una semana antes de lanzar un parche, podría motivar a los ciberdelincuentes a buscar debilidades en lugares donde de otro modo no buscarían. Pero los expertos de la industria creen que los beneficios de tal anuncio a veces superan los riesgos.
El CTO de Sonatype, Brian Fox, por ejemplo, comentó:
“La especulación asume que la solución está disponible en la fuente visible públicamente y el aviso previo les da tiempo a los atacantes para encontrarla. Esta suposición puede no ser cierta, es una buena práctica en algunos momentos bloquear el cambio real hasta después del anuncio por este motivo exacto. El equipo de OpenSSL está formado por algunos de los principales expertos en el manejo de divulgaciones de vulnerabilidades de código abierto de alto perfil y si han determinado que este es el mejor curso de acción, para avisar con anticipación, entonces tengo fe en esa decisión».
El miembro del equipo central de OpenSSL, Mark J. Cox, reiteró este argumento y dijo que, dado que los detalles sobre la vulnerabilidad son tan escasos, las posibilidades de que los delincuentes abusen de ella antes de que se corrija son escasas. Avisar a los equipos de TI a medida que llega el parche supera con creces los riesgos potenciales de que los delincuentes abusen de la falla, sugiere:
“Dada la cantidad de cambios en 3.0 y la falta de cualquier otra información de contexto, [threat actors going through the commit history between versions 3.0 and the current one to find anything] es muy poco probable”, tuiteó.
Vía: Asuntos de Seguridad (se abre en una pestaña nueva)