Se descubre un fallo criptográfico en OpenSSL
Los hackers han encontrado una forma de violar el software de verificación OpenSSL, utilizado en muchos servidores Web y VPNs, falsificando certificados. El riesgo afecta a las versiones de 0.9.7j a 0.9.8b, y el proyecto de código abierto OpenSSL ha recomendado a cualquiera que utilice el software su inmediata actualización.
La vulnerabilidad afecta a un conjunto específico de claves criptográficas X.509 conocido como PKCS#1 v1, y permite al atacante utilizar un certificado falso e ilegítimo que sea aceptado como auténtico, dejando así indefenso cualquier sistema no parcheado. “Las implementaciones pueden verificar de manera incorrecta el certificado si no están preparadas para tratar un exceso de datos en el resultado exponencial RSA de la firma”, según ha explicado la organización.
Descubierta por el criptógrafo Daniel Bleichenbacher, de Bell Labs, esta compleja vulnerabilidad fue demostrada ante varios profesionales en el marco de Crypto 2006 el mes pasado, pero sólo ahora que ya ha sido desarrollado el parche se ha hecho pública.
No se conoce el número de suministradores afectados por el problema, aunque se presume elevado dada la popularidad del toolkit de código abierto OpenSSL, frecuentemente utilizado para implementar SSL (Secure Sockets Layer) y TS (Transport Layer Protocols).
Descubierta por el criptógrafo Daniel Bleichenbacher, de Bell Labs, esta compleja vulnerabilidad fue demostrada ante varios profesionales en el marco de Crypto 2006 el mes pasado, pero sólo ahora que ya ha sido desarrollado el parche se ha hecho pública.
No se conoce el número de suministradores afectados por el problema, aunque se presume elevado dada la popularidad del toolkit de código abierto OpenSSL, frecuentemente utilizado para implementar SSL (Secure Sockets Layer) y TS (Transport Layer Protocols).
