Puerta trasera abierta...

Seis nuevas vulnerabilidades se han encontrado en OpenSSL, librería que todavía se está recuperando del desastre de HeartBleed; esta vez las vulnerabilidades son variadas, y permiten, por mencionar uno, un ataque del tipo “hombre en medio” que dan pie a que se pueda “escuchar” las comunicaciones encriptadas, así como también poder introducir malware en los sistemas comprometidos. Las versiones de OpenSSL afectadas son varias, que van desde la 0.9.8 hasta la 1.0.2-beta1. Un dato que llama la atención es que una de las vulnerabilidades descubiertas data de la primera versión de OpenSSL en 1998…es decir, hemos vivido 16 años con esos errores en el software. Quizás lo único positivo es que estas nuevas vulnerabilidades no son tan fáciles de explotar, a diferencia de HeartBleed. Lo que hay que hacer a la voz de ya es parchar sus servidores o cualquier otro software o hardware que haga uso de OpenSSL; en particular, los que usen la red Tor deberían actualizar su software pues son particularmente vulnerables a ataques del tipo “hombre en medio”. Reflexionando sobre los diversos problemas de seguridad que han habido respecto a OpenSSL, habría que preguntarse: ¿es esto bueno o malo? yo creo que es bueno pasar por este episodio problemático, en particular porque desde el problema de HeartBleed las miradas de todos están puestas en el desarrollo (y apoyo en consecuencia) de OpenSSL, así que creo que es el mejor momento para arreglar los problemas que pueda tener esta librería tan usada por todos.