Los desarrolladores de OpenSSL han anunciado que van a arreglar una vulnerabilidad en las versiones vulnerables de OpenSSL 1.0.2d y 1.0.1p. Las versiones 1.0.0 o 0.9.8 no son vulnerables. La fuga se clasifica como "alta", que es el más alto nivel de vulnerabilidades que utiliza OpenSSL.







 Esto se refiere a vulnerabilidades que puede permitir a los atacantes remotos provocar una denegación de servicio, una gran cantidad de memoria del servidor puede tener fugas o un atacante podría ejecutar código arbitrario de forma remota.

• https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

The OpenSSL project team would like to announce the forthcoming release
of OpenSSL versions 1.0.2d and 1.0.1p.

These releases will be made available on 9th July. They will fix a
single security defect classified as "high" severity.  This defect does
not affect the 1.0.0 or 0.9.8 releases.

Cual será exactamente el remedio no ha sido anunciado ni publicado po OpenSSL, que es uno de los software más utilizado para el cifrado de las conexiones a Internet, por ejemplo, entre los sitios web y sus visitantes.

En abril del año pasado el bug Heart Bleed, fue un error muy grave descubierto en OpenSSL, permitiendo a los atacantes robar la información remota de la memoria de los servidores Web para robar, por ejemplo contraseñas. La actualización estará disponible a partir del jueves 9 de julio.

CVE-2015-1793

Actualización 9 julio:

Parche ya disponible y algo más de la explicación de la vulnerabilidad

• https://www.openssl.org/news/secadv_20150709.txt

Severity: High
During certificate verification, OpenSSL (starting from version 1.0.1n and
1.0.2b) will attempt to find an alternative certificate chain if the first
attempt to build such a chain fails. An error in the implementation of this
logic can mean that an attacker could cause certain checks on untrusted
certificates to be bypassed, such as the CA flag, enabling them to use a valid
leaf certificate to act as a CA and "issue" an invalid certificate.