Hace un poco más de dos años fue que dejamos de escuchar sobre problemas de OpenSSL hasta el día de hoy y en particular, usuarios de Ubuntu deberían actualizar la popular distro de Linux si no lo han hecho ahora.

Aunque no tenga que ver con la fatídica situación conocida como Heartbleed, OpenSSL fue el detonante de un susto en canonical con su OS Ubuntu, que es basado en Linux.

Según el boletín de actualización titulado con USN-3087-2, especifica que la actualización anterior de OpenSSL, USN-3087-1, provocó una situación donde un arreglo no fue compilado correctamente y provocó regresiones dentro de la plataforma, en otras palabras, que las situaciones a la que la actualización debía mejorar no lo hizo y posiblemente pudo haber provocado otras nuevas y reabrir viejos huecos de seguridad.

Canonical recomendó la actualización con los paquetes libssl1.0.0 1.0.2g-1ubuntu4.4 para Ubuntu 16.04 LTS, libssl1.0.0 1.0.1f-1ubuntu2.20 para Ubuntu 14.04 LTS y libssl1.0.0 1.0.1-4ubuntu5.37 para Ubuntu 12.04 LTS.

Recordarán que para el 2014 se reveló que OpenSSL tenía un fallo en donde se afecta el manejo de memoria en la implementación del layer de seguridad de TLS usado en la mayoría de clientes de email para tomar un ejemplo, provocando que 64 kilobytes de la memoria de la extensión Heartbleed de TLS que puede incluir hasta información de usuarios y de ahí su nombre de Heartbleed.

Lo terrible de todo es que se averiguó que la falla lleva en existencia desde el 2011 pero no fue masivo hasta que todos los programadores con protocolo de Internet actualizaron a la versión OpenSSL 1.0.1 en el 2012.

El impacto es de tal manera, que mediante la lectura de un bloque arbitrario de la memoria del servidor web, los atacantes podrían recibir datos sensibles que pudieran estar incluidos en esos bloques de 64 kilobytes, lo que compromete la seguridad del servidor y sus usuarios. Datos vulnerables incluyen la clave del servidor principal privado, lo que permitiría a los atacantes para descifrar el tráfico actual o almacenada a través de ataques pasivos o activos como man-in-the-middle, si se utiliza confidencialidad directa perfecta. El atacante no puede controlar los dates que se devuelven ya que el servidor responde con un trozo aleatorio de su propia memoria.