Una nueva versión de OpenSSL será lanzada inminentemente, para corregir una vulnerabilidad de alta severidad. En un anuncio a través de una lista de correo, el desarrollador del equipo Mark J. Cox dijo que la actualización a las versiones 1.0.2d y 1.0.1p será efectiva el jueves 9 de julio.
El anuncio continúa diciendo que esta actualización corregirá un bug en OpenSSL que, en verdad, no afecta a las versiones 1.0.0 o 0.9.8. Se trata de un software open source usado comúnmente para cifrar comunicaciones de Internet usando SSL o TLS, y se estima que en 2014 dos tercios de los servidores web lo usaban. Es por eso que en abril del año pasado, la vulnerabilidad crítica conocida como Heartbleed tuvo un impacto tan grande.
Pero, tal como el analista de seguridad Graham Cluley afirma en su blog: "Con suerte, esta nueva vulnerabilidad en OpenSSL no será tan seria como Heartbleed – pero su clasificación como de 'alta severidad' significa que podría abrir la puerta a varias amenazas: desde bastante mansos ataques de Denegación de Servicio hasta la más desagradable ejecución remota de código".
Como señaló Cluley, autor de We Live Security, el parche deberá ser instalado inmediatamente para mitigar el riesgo, porque de lo contrario los atacantes podrían explotar servidores no actualizados luego de que se publique la actualización. Es precisamente por eso que OpenSSL no ha publicado detalles de la vulnerabilidad, que permanece un misterio en cuanto a su impacto; cualquier información que se dé a conocer, podría ser aprovechada con fines maliciosos antes de que esté disponible el parche.
De hecho, el aviso de la actualización es bastante escueto y no da información sobre este misterioso bug en OpenSSL:
"Así que escuchen, administradores de sistemas y desarrolladores. Cuando la actualización que corrige la vulnerabilidad en OpenSSL llegue en algún momento del jueves, asegúrense de aplicar el parche tan pronto como sea posible. Se lo deben a su propia seguridad, pero también para proteger adecuadamente la de sus socios y consumidores", concluyó Cluley.
