El proyecto OpenSSL, confirmó que la de diciembre fue última actualización para las versiones 0.9.8 y 1.0.0. El anuncio inicial fue hecho hace un año, cuando se informó que el soporte para ambas versiones sería descontinuado a partir del 31 de diciembre de 2015. Las vulnerabilidades descubiertas con posterioridad a esa fecha no serán eliminadas para estas versiones.
OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web. Estas herramientas ayudan al sistema a implementar el Secure Socket Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS). OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor.
Si bien el anuncio fue claro, se debe tener en cuenta que ambas versiones de OpenSSL forman parte de, por ejemplo, de distribuciones de Linux que cuentan con soporte activo, y es probable que los parches de seguridad sean implementados en las versiones que acompañan a estas distribuciones. En estos casos, esta actualización estaría a cargo de la organización responsable de la distribución y no del proyecto OpenSSL.
ALTERNATIVAS
Para el caso de todos los demás usuarios afectados, una actualización a OpenSSL 1.0.1 solo constituye una solución temporal. Esto se debe a que el proyecto OpenSSL sólo ofrecerá soporte para la versión OpenSSL 1.0.1 hasta el 31 de diciembre de 2016.
Una solución de largo plazo es utilizar OpenSSL 1.0.2, que contará con soporte hasta el 31 de diciembre de 2019. Esta versión es denominada LTS (Long Term Support) que, como su nombre en inglés lo indica, estará respaldada a largo plazo.
El proyecto OpenSSL también prepara una actualización de mayor envergadura, anunciada para el 28 de abril de 2016. Esta versión contará con soporte durante dos años y es poco probable que sea distribuida como LTS.
Durante un prolongado período de 2014, OpenSSL se vio afectada por grandes problemas de seguridad, que se vieron en parte solucionados cuando la entidad recibió recursos económicos para su gestión. Los problemas motivaron además la creación de soluciones alternativas, basadas en parte en el mismo código fuente, como por ejemplo BoringSSL de Google.
Compartir nota:
