{"id":273184,"date":"2022-11-02T19:50:13","date_gmt":"2022-11-02T19:50:13","guid":{"rendered":"https:\/\/magazineoffice.com\/el-parche-openssl-3-una-vez-critico-de-nivel-heartbleed-llega-como-un-alto-menor\/"},"modified":"2022-11-02T19:50:15","modified_gmt":"2022-11-02T19:50:15","slug":"el-parche-openssl-3-una-vez-critico-de-nivel-heartbleed-llega-como-un-alto-menor","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/el-parche-openssl-3-una-vez-critico-de-nivel-heartbleed-llega-como-un-alto-menor\/","title":{"rendered":"El parche OpenSSL 3, una vez \u00abcr\u00edtico\u00bb de nivel Heartbleed, llega como un \u00abalto\u00bb menor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> Las consecuencias de una vulnerabilidad de OpenSSL, inicialmente clasificada como \u00abcr\u00edtica\u00bb, deber\u00edan ser mucho menos graves que las del \u00faltimo error cr\u00edtico de OpenSSL, Heartbleed.<\/div>\n<\/figcaption><\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 91:single\/related:554d6ff805b291aec0ead5c932343c4a --><!-- empty --><\/p>\n<p>Una vulnerabilidad de OpenSSL una vez se\u00f1alada como el primer parche de nivel cr\u00edtico desde que se acaba de parchear el error Heartbleed que remodel\u00f3 Internet.  En \u00faltima instancia, lleg\u00f3 como una soluci\u00f3n de seguridad \u00abalta\u00bb para un desbordamiento de b\u00fafer, que afecta a todas las instalaciones de OpenSSL 3.x, pero es poco probable que conduzca a la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>La versi\u00f3n 3.0.7 de OpenSSL se anunci\u00f3 la semana pasada como una versi\u00f3n cr\u00edtica de correcci\u00f3n de seguridad.  Las vulnerabilidades espec\u00edficas (ahora CVE-2022-37786 y CVE-2022-3602) se desconoc\u00edan en gran medida hasta hoy, pero los analistas y las empresas en el campo de la seguridad web insinuaron que podr\u00eda haber problemas notables y problemas de mantenimiento.  Algunas distribuciones de Linux, incluida Fedora, retrasaron los lanzamientos hasta que el parche estuvo disponible.  El gigante de distribuci\u00f3n Akamai not\u00f3 antes del parche que la mitad de sus redes monitoreadas ten\u00edan al menos una m\u00e1quina con una instancia vulnerable de OpenSSL 3.x, y entre esas redes, entre el 0,2 y el 33 por ciento de las m\u00e1quinas eran vulnerables.<\/p>\n<p>Pero las vulnerabilidades espec\u00edficas (desbordamientos del lado del cliente en circunstancias limitadas que son mitigados por el dise\u00f1o de la pila en la mayor\u00eda de las plataformas modernas) ahora est\u00e1n parcheadas y calificadas como \u00abAltas\u00bb.  Y con OpenSSL 1.1.1 todav\u00eda en su fase de soporte a largo plazo, OpenSSL 3.x no est\u00e1 tan extendido.<\/p>\n<p>El experto en malware Marcus Hutchins se\u00f1ala una confirmaci\u00f3n de OpenSSL en GitHub que detalla los problemas del c\u00f3digo: \u00abse corrigieron dos desbordamientos de b\u00fafer en funciones de decodificaci\u00f3n de c\u00f3digo insignificantes\u00bb.  Una direcci\u00f3n de correo electr\u00f3nico maliciosa, verificada dentro de un certificado X.509, podr\u00eda desbordar bytes en una pila, lo que provocar\u00eda un bloqueo o una posible ejecuci\u00f3n remota del c\u00f3digo, seg\u00fan la plataforma y la configuraci\u00f3n.<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio publicitario <\/span>    <\/p>\n<\/aside>\n<p>Pero esta vulnerabilidad afecta principalmente a los clientes, no a los servidores, por lo que es probable que no siga el mismo tipo de restablecimiento de seguridad en Internet (y absurdo) de Heartbleed.  Las VPN que utilizan OpenSSL 3.x podr\u00edan verse afectadas, por ejemplo, e idiomas como Node.js. <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1587479420679380996\" target=\"_blank\" rel=\"noopener\">El experto en ciberseguridad Kevin Beaumont se\u00f1ala<\/a> que las protecciones de desbordamiento de pila en la mayor\u00eda de las configuraciones predeterminadas de las distribuciones de Linux deber\u00edan evitar la ejecuci\u00f3n del c\u00f3digo.<\/p>\n<p>\u00bfQu\u00e9 cambi\u00f3 entre el anuncio de nivel cr\u00edtico y el lanzamiento de alto nivel?  El equipo de seguridad de OpenSSL escribe en una publicaci\u00f3n de blog que en aproximadamente una semana, las organizaciones probaron y proporcionaron comentarios.  En algunas distribuciones de Linux, el desbordamiento de 4 bytes posible con un ataque sobrescrib\u00eda un b\u00fafer adyacente que a\u00fan no se usaba y, por lo tanto, no pod\u00eda bloquear un sistema ni ejecutar c\u00f3digo.  La otra vulnerabilidad solo permit\u00eda que un atacante estableciera la duraci\u00f3n de un desbordamiento, no el contenido.<\/p>\n<p>Por lo tanto, si bien a\u00fan son posibles los bloqueos, y algunas pilas podr\u00edan organizarse de manera que hagan posible la ejecuci\u00f3n remota de c\u00f3digo, no es probable ni f\u00e1cil, lo que reduce las vulnerabilidades a \u00abaltas\u00bb.  Sin embargo, los usuarios de cualquier implementaci\u00f3n de OpenSSL 3.x deben parchear lo antes posible.  Y todos deber\u00edan buscar actualizaciones de software y sistema operativo que puedan solucionar estos problemas en varios subsistemas.<\/p>\n<p>El servicio de monitoreo Datadog, en un buen resumen del problema, se\u00f1ala que su equipo de investigaci\u00f3n de seguridad pudo bloquear una implementaci\u00f3n de Windows usando una versi\u00f3n de OpenSSL 3.x en una prueba de concepto.  Y aunque es probable que las implementaciones de Linux no sean explotables, a\u00fan podr\u00eda surgir \u00abun exploit dise\u00f1ado para implementaciones de Linux\u00bb.<\/p>\n<p>El Centro Nacional de Seguridad Cibern\u00e9tica de los Pa\u00edses Bajos (NCSL-NL) tiene una lista actualizada de software vulnerable al exploit OpenSSL 3.x.  Numerosas distribuciones populares de Linux, plataformas de virtualizaci\u00f3n y otras herramientas se enumeran como vulnerables o bajo investigaci\u00f3n.<\/p>\n<\/p><\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Agrandar \/ Las consecuencias de una vulnerabilidad de OpenSSL, inicialmente clasificada como \u00abcr\u00edtica\u00bb, deber\u00edan ser mucho menos graves que las del \u00faltimo error cr\u00edtico de OpenSSL, Heartbleed. Una vulnerabilidad de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":273185,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1404,216,13239,59611,434,5488,1577,58524,235,73,440],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/273184"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=273184"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/273184\/revisions"}],"predecessor-version":[{"id":273186,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/273184\/revisions\/273186"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/273185"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=273184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=273184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=273184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}