Se solucionan siete vulnerabilidades en OpenSSL

Heartbleed fue, casi sin lugar a dudas, uno de los problemas de seguridad de mayor alcance el pasado año. Detectado en abril, varios meses después más de 300.000 servidores seguían siendo vulnerables a un fallo que afectaba a OpenSSL, una versión ‘open source’ de SSL, que es una tecnología que permite cifrar las comunicaciones entre el navegador y el servidor que nos proporciona la información y/o servicios a los que queremos acceder.

Activo durante al menos dos años antes de que se detectara, Heartbleed fue capaz de comprometer las claves secretas, los nombres y las contraseñas de los usuarios y el contenido real: puede ser datos personales o financieros, comunicaciones privadas , tales como correos electrónicos o mensajes instantáneos , documentos o fotografías adjuntas en correos o guardados en la nube.

Ahora, el mismo grupo que detectó aquel fallo de seguridad, anuncia nuevas vulnerabilidades en OpenSLL. En total se han publicado siete boletines entre el 5 y el 8 de enero: CVE-2014-8275: 5th January 2015, CVE-2014-3572: 5th January 2015, CVE-2015-0204: 6th January 2015, CVE-2014-3570: 8th January 2015, CVE-2015-0205: 8th January 2015, CVE-2015-0206: 8th January 2015, CVE-2014-3571: 8th January 2015.

Ninguna de las vulnerabilidades, todas ellas consideradas como “Moderadas”, permite la ejecución remota de código, pero hay uno relacionado con DTLS capaz de generar un problema de denegación de servicio.