El aviso de seguridad para el problema se puede encontrar aquí: enlace
Advertencia de seguridad de OpenSSL [9 de julio de 2015]
Falsificación de certificados de cadenas alternativas (CVE-2015-1793)
Severidad: Alta
Durante la verificación del certificado, OpenSSL (a partir de la versión 1.0.1n y 1.0.2b) intentará encontrar una cadena de certificados alternativa si falla el primer intento de construir dicha cadena. Un error en el La implementación de esta lógica puede significar que un atacante podría causar ciertas comprobaciones en certificados que no son de confianza que se deben omitir, como el Indicador de CA, que les permite utilizar un certificado de hoja válido para actuar como CA y "emitir" un certificado no válido.
Este problema afectará a cualquier aplicación que verifique certificados incluidos los clientes SSL / TLS / DTLS y los servidores SSL / TLS / DTLS utilizando el cliente autenticación.
Este problema afecta a las versiones de OpenSSL 1.0.2c, 1.0.2b, 1.0.1ny 1.0.1o.
Los usuarios de OpenSSL 1.0.2b / 1.0.2c deben actualizar a 1.0.2d OpenSSL 1.0.1n / 1.0.1o los usuarios deben actualizar a 1.0.1p
Este problema se informó a OpenSSL el 24 de junio de 2015 por Adam Langley / David Benjamin (Google / BoringSSL). La solución fue desarrollada por el proyecto BoringSSL.
Nota
Según nuestros anuncios anteriores y nuestra Estrategia de lanzamiento ( enlace ), soporte para OpenSSL versiones 1.0.0 y 0.9.8 cesarán el 31 de diciembre de 2015. No se proporcionarán actualizaciones de seguridad para estas versiones después de esa fecha. Los usuarios de estos Se recomienda a los lanzamientos que actualicen.
Referencias
URL para este aviso de seguridad: enlace
Nota: la versión en línea del aviso puede actualizarse con detalles adicionales a lo largo del tiempo.
Para obtener más información sobre las clasificaciones de gravedad de OpenSSL, consulte: enlace