Los desarrolladores del proyecto OpenSSL han informado a los usuarios que la próxima versión 3.0.7 cerrará una vulnerabilidad crítica recientemente descubierta. Este es sólo el segundo error crítico en OpenSSL en los últimos años..
El lanzamiento de AbiertoSSL versión 3.0.7 está programado para el martes, Noviembre 1, 2022. Aún no se han publicado detalles sobre este lanzamiento.: se describe como un «liberación de seguridad» que incluirá un parche para algún error clasificado como «crítico».
Permítanme recordarles que también hablamos sobre el Un error en la VPN de iOS impide el cifrado del tráfico durante años, Los investigadores dicen.
También se informa que el último problema no afecta a OpenSSL. 3.0 y versiones anteriores.
Además del lanzamiento de la versión. 3.0.7, los desarrolladores de OpenSSL también están preparando la versión 1.1.1s. Su lanzamiento está previsto para el mismo día e incluirá parches para varios errores..
Cabe destacar que esta será la primera vulnerabilidad crítica solucionada en OpenSSL desde septiembre 2016, y sólo la segunda vulnerabilidad crítica en la historia del proyecto.
Permítanme recordarles que el proyecto OpenSSL comenzó a asignar clasificaciones de gravedad a las vulnerabilidades sólo en 2014, tras el descubrimiento del sensacional Sangrado del corazón problema (CVE-2014-0160).
La vulnerabilidad estaba relacionada con la falta de verificación de límites requeridos en uno de los Latido del corazón (RFC6520) extensión Procedimientos para el protocolo TLS/DTLS.. Debido a un pequeño error, cualquiera podría acceder a la RAM de los ordenadores cuyas comunicaciones son «protegido» por una versión vulnerable de OpenSSL. En particular, el atacante obtuvo acceso a claves secretas, nombres de usuario y contraseñas, y todo el contenido que debe transmitirse en forma cifrada. Al mismo tiempo, no hubo rastros de penetración en el sistema. Los expertos en seguridad de la información sugieren algo similar esta vez.
Desde 2014 y 2017, Se han identificado más de una docena de problemas de alta gravedad.. Después de eso, por muchos años, Los expertos en seguridad no encontraron una sola vulnerabilidad con un alto grado de gravedad., y este estado se asignó sólo a dos errores en 2020. Se descubrieron tres problemas más de alta gravedad en 2021, y dos más en 2022.