| Noticias | 26 SEP 2006

Se descubre un fallo criptográfico en OpenSSL

Los hackers han encontrado una forma de violar el software de verificación OpenSSL, utilizado en muchos servidores Web y VPNs, falsificando certificados. El riesgo afecta a las versiones de 0.9.7j a 0.9.8b, y el proyecto de código abierto OpenSSL ha recomendado a cualquiera que utilice el software su inmediata actualización.
CIO
La vulnerabilidad afecta a un conjunto específico de claves criptográficas X.509 conocido como PKCS#1 v1, y permite al atacante utilizar un certificado falso e ilegítimo que sea aceptado como auténtico, dejando así indefenso cualquier sistema no parcheado. “Las implementaciones pueden verificar de manera incorrecta el certificado si no están preparadas para tratar un exceso de datos en el resultado exponencial RSA de la firma”, según ha explicado la organización.

Descubierta por el criptógrafo Daniel Bleichenbacher, de Bell Labs, esta compleja vulnerabilidad fue demostrada ante varios profesionales en el marco de Crypto 2006 el mes pasado, pero sólo ahora que ya ha sido desarrollado el parche se ha hecho pública.

No se conoce el número de suministradores afectados por el problema, aunque se presume elevado dada la popularidad del toolkit de código abierto OpenSSL, frecuentemente utilizado para implementar SSL (Secure Sockets Layer) y TS (Transport Layer Protocols).

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información