Nueve correcciones de software fueron liberadas el miércoles pasado para OpenSSL, un componente de cifrado crítico para el intercambio de información en red, aunque ninguno de los problemas fue tan severo como Heartbleed.

Todos los problemas fueron reportados durante junio y julio por analistas de seguridad junto con vendedores de software como Google, Codenomicon, LogMeIn y un grupo de la NCC.

Los últimos parches de actualización arreglan problemas graves que pueden ser disparados a través de ataques de denegación de servicio. Pueden ocasionar que OpenSSL falle, consuma grandes cantidades de memoria o genere fugas de información.

El código de OpenSSL ha sido examinado intensamente desde abril, cuando Codenomicon encontró la famosa vulnerabilidad Heartbleed, una fuga en la memoria del lado del servidor que permitía la divulgación de contraseñas y llaves SSL/TLS utilizadas para decodificar información cifrada en el tráfico. Para hacerlo aun más peligroso, un ataque Heartbleed es indetectable.

El error de Heartbleed sirvió como una llamada de atención para revisar mejor el código de los proyectos de software libre, ya que OpenSSL es utilizado globalmente por distintos sitios web y aplicaciones para cifrar. Desde entonces, OpenSSL ha pasado por una revisión de código y varios vendedores de software han dedicado recursos a tratar de mantener la aplicación libre de errores.

Uno de los parches corrige un error que provoca que un servidor OpenSSL reduzca su seguridad a un nivel inferior. Este error ocurre cuando un mensaje ClientHello fragmentado incorrectamente es enviado a un servidor mientras ocurre un ataque Man-in-the-Middle. Con esto se logra que OpenSSL regrese a su versión TLS 1.0, una versión de hace 15 años.