• Tweet

El servidor OpenSSL se ha actualizado para solucionar una falla de seguridad que podría ser explotada de forma remota para instalar malware en los sistemas potencialmente vulnerables.

La falla en el estado de espera en el código de extensión del servidor TLS de OpenSSL podría ser explotada en un ataque de desbordamiento de búfer, manteniendo la aplicación abierta de código SSL y TLS, se advirtió el martes. Todas las versiones de OpenSSL que soportan las extensiones TLS son vulnerables, en particular a través de OpenSSL 0.9.8f 0.9.8o, 1.0.0 y 1.0.0a. El Servidor Apache HTTP y Stunnel no se ven afectados.

"Cualquier OpenSSL basado en servidores TLS es vulnerable si es multi-hilos y utiliza mecanismos de almacenamiento en el caché interno de OpenSSL", escribieron los miembros del Proyecto OpenSSL. "Los servidores que son multi-proceso y/o que deshabilitan la sesión de caché interna no se ven afectados."

Los miembros de la Red Hat Security Response Team, que utilizan OpenSSL en Red Hat Enterprise Linux, advirtieron que la vulnerabilidad podría ser explotada de forma remota.

"Bajo ciertas condiciones específicas, puede ser posible que un atacante remoto provoque este estado de espera y cause que tal aplicación se bloquee, o posiblemente ejecute código arbitrario con los permisos de la aplica.