Hora de actualizar vuestras versiones de OpenSSL. Se acaba de lanzar una actualización de seguridad para corregir una grave vulnerabilidad en el mecanismo de autenticación de certificados que permite en versiones no actualizadas que un atacante remoto pueda llegar a emitir certificados falsos que serían validados por nuestro servidor.

OpenSSL logo

Gracias al trabajo de investigación de Adam Langley y de David Benjamin, OpenSSL tuvo conocimiento de una grave vulnerabilidad que afectaba a sus versiones 1.0.1n/o y 1.0.2b/c. El problema surge cuando al tratar de verificar un certificado, en el caso que la primera cadena de verificación falle, OpenSSL trata de encontrar una secunda cadena. Un error en la implementación de este proceso permite a un atacante llegar a emitir y validar certificados no válidos.

Esta vulnerabilidad afecta a cualquier aplicacion que verifique certificados incluyendo clientes y servidores SSL/TLS y DTLS. Las nuevas versiones las que se debe actualizar son la 1.0.1p y la 1.0.2d

Fuente OpenSSL