En un aviso recientemente publicado (CA-2003-26) por esta institución perteneciente a la Universidad Carnegie Mellon, se indica de las vulnerabilidades de múltiples aplicaciones SSL/TLS y de las versiones de OpenSSL previas a la 0.9.7 y 0.9.6k.

Estas vulnerabilidades ocurren básicamente en el interpretador de ASN.1.La más seria de estas puede permitir a un atacante remoto ejecutar cualquier código maligno. El resultado más probable es el denegación de servicio.

SSL y TLS son usados para proveer autenticación, encriptación e integridad de servicios a aplicaciones de red de muy alto nivel como HTTP. Los elementos criptográficos usados por protocolos, como por ejemplo los certificados X.509, son representados por ojetos ASN.1.A efectos de codificar y decodificar esos objetos, muchas aplicaciones SSL y TLS incluyen interpretadores ASN.1 .

El impacto resultante de estas vulnerabilidades varía. En casi todos los casos, un atacante remoto podría causar una denegación de servicio. Para al menos una vulnerabilidad en OpenSSL, un atacante remoto podría ejecutar código maligno.

La solución a este problema, consiste en actualizarse a OpenSSL 0.9.7c o OpenSSL 0.9.6k.Luego se debe recompilar las aplicaciones que estan linkadas con las librerias de OpenSSL.

Según consta en el mismo boletín del CERT, muchos fabricantes ya están estudiando el tema y buscando soluciones a algunos de sus productos afectados por estas vulnerabilidades. Entre ellos, Apple Computer, Hitachi, IBM, Juniper Networks, NEC, Novell, Red Hat, RSA Security, etc.