Hola

Supongo que ya todos estais al tanto de esto

------------------------------------------------------------------------------------------
Solucionan el fallo critico de OpenSSL y dan informacion sobre el

URL: http://www.redeszone.net/2015/07/10/solucionan-fallo-critico-openssl-dan-informacion/

A principios de semana el equipo de desarrollo de OpenSSL anuncio que se encontraban actualizando la herramienta para solucionar una vulnerabilidad critica que podia comprometer la seguridad de los usuarios, aunque no se facilito mucha mas informacion al respecto. Ayer finalmente se publico el nuevo
parche de seguridad y con el toda la informacion sobre la vulnerabilidad que tan en secreto habian guardado.


Este fallo de seguridad solo afectaba a las versiones 1.0.1 y 1.0.2 de la herramienta, que ahora mismo se han actualizado a las versiones 1.0.1p y 1.0.2d
respectivamente.

El fallo de seguridad ha sido catalogado bajo el numero "CVE-2015-1793" y esta relacionada directamente con el proceso de verificacion de certificados. Si durante el proceso de verificacion este genera un error las versiones vulnerables de OpenSSL intentaban buscar un certificado alternativo para poder establecer la conexion. La vulnerabilidad solucionada permitia que un usuario no autorizado pudiera saltarse ciertas comprobaciones a la hora de seleccionar el certificado, generar certificados falsos utilizando la CA y hacer que OpenSSL se conectara a estos como si fueran certificados correctos y fiables.

Tanto clientes como servidores SSL, TLS y DTLS se han visto afectados por esta vulnerabilidad. Es recomendable actualizar los modulos de OpenSSL lo antes posible, especialmente si se utilizan las versiones 1.0.1 y 1.0.2, para evitar que piratas informaticos puedan aprovecharse de este fallo de seguridad.

Esta vulnerabilidad solo puede explotarse mediante ataques MITM desde una posicion privilegiada en la red. Esto hace que la vulnerabilidad solo sea util en ataques dirigidos contra una persona concreta y no contra ataques globales o
genericos. El atacante debe estar situado entre el cliente y el servidor para interceptar y modificar las conexiones. Para ello podria hacerse pasar facilmente por un servidor DNS o un router de manera que todo el trafico pasara
a traves de el.

Las versiones anteriores a la 1.0.1 no estan afectadas por esta
vulnerabilidad, al igual que tampoco lo estan otras alternativas como
LibreSSL, BoringSSL ni otras bibliotecas SSL/TLS. Aquellos usuarios que necesiten actualizar las librerias pueden descargar la version mas
reciente o el codigo fuente desde la web principal de la herramienta. ------------------------------------------------------------------------------------------

Parece que han sido los propios desarrolladores de OpenSSL los que lo han descubierto y lo habian anunciado estos dias anteriores, pero sin describir cual era el fallo. Ahora que ya esta la correccion, parece que han dado la info.
Al menos es la idea que yo me llevo. A actualizar tocan

Un saludo

--- Claws Mail 3.11.1 (GTK+ 2.24.28; x86_64-pc-linux-gnu)
* Origin: From the Eye Of The Beholder BBS (NNTP Gateway) (2:343/107.997)

­Hola Oscar!

El Viernes 10 Julio 2015 a las 11:52, Oscar Acuña escribió a All:

Supongo que ya todos estais al tanto de esto

Sí, pero siempre va bien el recordatorio.

Parece que han sido los propios desarrolladores de OpenSSL los que lo
han descubierto y lo habian anunciado estos dias anteriores, pero sin

Tiene toda la pinta. Aún así, es curioso ver el despliegue de cobertura que tienen estos casos, y el alarmismo desmedido con el que en algunas fuentes se revieste la noticia...

A actualizar tocan

:-) Cuando los mantenedores de paquetes de mi distro digan. ;-)

-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Un pajaro en la mano está fuera de lugar.
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)

Hola

OA> Parece que han sido los propios desarrolladores de OpenSSL los que lo
OA> han descubierto y lo habian anunciado estos dias anteriores, pero sin

Tiene toda la pinta. Aún así, es curioso ver el despliegue de cobertura
que tienen estos casos, y el alarmismo desmedido con el que en algunas fuentes se revieste la noticia...

Si, a mí también me ha parecido que se ha magnificado un poco. Supongo que se ha intentado buscar algo de sensacionalismo.
Entiendo que si los desarrolladores pensasen que había riesgo al comentarlo, ni
siquiera habrían hablado, que por otro lado sería lo más fácil (reparar el fallo sin decir nada, y nadie se entera). Pero al actuar de manera mas "noble",
creo que se ha magnificado. Bueno, es lo que hay

Un saludo

--- Claws Mail 3.11.1 (GTK+ 2.24.28; x86_64-pc-linux-gnu)
* Origin: From the Eye Of The Beholder BBS (NNTP Gateway) (2:343/107.997)

­Hola Oscar!

El Martes 14 Julio 2015 a las 09:35, Oscar Acuña escribió a Enric Lleal Serra:

(reparar el fallo sin decir nada, y nadie se entera). Pero al actuar
de manera mas "noble", creo que se ha magnificado. Bueno, es lo que
hay

En este sentido, teniendo el parche en la mano, ser transparente es lo mejor: "tenemos un problema, y tenemos la solución"... Es una de las virtudes del código libre, y creo que hay que potenciarlo.

El problema es, creo, cuando se aprovecha dicha transparencia para poner en duda la viabilidad de una opción tecnico-filosófica como la del FOSS...

-
A reveure!!
Enric
__________________________________________________________________
FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

... Odiar y reconocer las cualidades de aquellos que se odian; cosa rara bajo el ci
--- crashmail + golded + binkd
* Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)