Web BizarroWeb Bizarro

Suscríbete a nuestro Newsletter

X

Únete a nuestra lista de correos para recibir semanalmente actualizaciones de nuestro contenido.

Fallo en una librería de SSL en linux

Fallo en una librería de SSL en linux 06.MAR.14

Gianfranco Lemmo
Fundador WebBizarro

Ha aparecido un error en la librería GnuTLS, una librería de SSL para Linux, que permite que un atacante con conocimiento del fallo podría crear certificados que siempre serían aceptados como válidos por la librería, y espiar así comunicaciones aparentemente seguras.

En realidad, el fallo no tiene prácticamente que ver con criptografía. En la función encargada de verificar la validez de certificados X.509 tipo ASN.1, el desarrollador se equivocó al programar y no se interpretó bien el código de salida. Así, un código de retorno negativo que indica un error se convertía en un código de retorno distinto de 0 que indica que todo ha ido bien. Este esquema de @0xabad1dea lo explica con más claridad. Puedes ver qué aplicaciones dependen de GnuTLS ejecutando apt-cache rdepends libgnutls26 en Debian y derivados. Es posible que no todas las aplicaciones utilicen siempre GnuTLS sino que sólo lo tengan como opción.

Este fallo tan estúpido habría sido introducido hace 10 años. Es muy grave. La librería GnuTLS es ampliamente usada en Linux por varios programas para establecer conexiones seguras por SSL, y todas ellas se ven afectadas por la vulnerabilidad. Por ejemplo, aplicaciones* como Chromium, el servidor Apache en ciertas configuraciones, Filezilla u OpenOffice usarían GnuTLS para establecer sus conexiones seguras. 

Alguien con conocimiento del fallo podría haber interceptado las comunicaciones usando un certificado inválido pero que no haría saltar ninguna alarma. Eso sí, es improbable que alguien haya tenido acceso a ese fallo.

Por suerte, el parche ya está disponible y muchas distribuciones lo tienen ya listo para que puedas actualizar.

Fuente Arstechnica