Apenas unos días después del denominado fallo goto fail en los sistemas de Apple que afectaba a la librería de SSL de OS X e iOS, conocemos otra vulnerabilidad similar, que en esta ocasión afecta a Linux. Su peligrosidad es similar ya que podría facilitar el espionaje de las comunicaciones de los usuarios.
Algunas de las distribuciones Linux más importantes como Debian, Ubuntu o Red Hat se han visto afectadas por un grave fallo de seguridad. Como nota llamativa, cabe remarcar que la vulnerabilidad se introdujo hace una década y hasta ahora no había sido detectada.
Ésta afecta a la librería GnuTLS, usada en Linux por centenares de aplicaciones para establecer conexiones seguras mediante SSL. Entre ellas encontraríamos importantes programas como OpenOffice, Filezilla, Chromium o el servidor Apache en algunas de sus configuraciones.
Como leemos en ArsTechnica, el fallo nace de una equivocación en la programación en la función que verifica la validez de certificados X.509 tipo ASN.1, dado que no se interpretó bien el código de salida. De este modo, «un código de retorno negativo que indica un error se convierte en un código de retorno distinto de 0 que señala que todo ha ido bien», explican en Genbeta.
Un atacante con conocimiento del fallo podría haberse aprovechado del mismo para interceptar las comunicaciones a través de un certificado inválido pero que, debido al error, no sería calificado por el sistema como tal. No obstante, cabe señalar que es difícil que esto haya sucedido pese a haber pasado 10 años desde que se cometiese el error.
El parche que lo soluciona ya está disponible
La vulnerabilidad ha disparado todas las alarmas entre expertos en seguridad, principalmente por el tiempo que ha transcurrido sin ser detectado y por lo obvio que parecía. Por suerte, el parche que corrige el fallo de seguridad ya se encuentra disponible y muchas distribuciones ya lo tienen disponible para actualización inmediata.