El proyecto OpenSSL ha publicado una actualización de la biblioteca criptográfica homónima de código abierto, la cual arregla cuatro vulnerabilidades incluyendo la denominada POODLE (Padding Oracle On Downgraded Legacy Encryption).

Esto último ha sido abordado agregando soporte para TLS_FALLBACK_SCSV para prevenir un ataque MITM, el cual forza una desactualización del protocolo y parcha un error que permite que los servidores acepten y completen un saludo SSL 3.0 y que los clientes envíen saludos incluso si OpenSSL está configurado con la opción "no-ssl3".

Los otros dos errores arreglados permiten fugas de memoria que pudieron haber sido explotadas por atacantes que busquen una manera de enviar ataques DoS en contra de servidores.

La vulnerabilidad más seria de las dos que pueden ser explotadas por un atacante, envía un mensaje corrupto de saludo al servidor impidiendo a OpenSSL liberar a 64K de memoria. Repetir esta accion muchas veces puede dejar al servidor sin memoria disponible y por último, provocar un derrumbe conjunto o causar problemas en el rendimiento.

Las nuevas versiones de OpenSSL son 1.0.1j, 1.0.0o y 0.9.8zc (se pueden descargar de aquí). También es bueno saber que esta liberación aplica a los últimos arreglos para OpenSSL 0.9.8.

El equipo OpenSSL ha tenido bastante trabajo en el año. En abril ellos lidiaron con la vulnerabilidad de Heartbleed, y en junio con el crítico MITM y la ejecución de código defectuoso.