OpenSSL descontinuará soporte para versiones obsoletas el 31 de diciembre

El anuncio inicial fue hecho hace un año.

El proyecto OpenSSL publicó la semana pasada nuevos parches de seguridad para su herramienta de cifrado homónima. El software elimina varias vulnerabilidades de nivel moderado.

Paralelamente, la entidad confirmó que ésta será la última actualización para las versiones 0.9.8 y 1.0.0. El anuncio inicial fue hecho hace un año, cuando se informó que el soporte para ambas versiones sería descontinuado a partir del 31 de diciembre de 2015. En concreto, lo anterior implica que las vulnerabilidades descubiertas con posterioridad a esa fecha no serán eliminadas para el caso de estas versiones.

Cabe señalar que,  en realidad, es una advertencia matizada. En efecto, si ambas versiones son  incorporadas, por ejemplo, en distribuciones de Linux que cuentan con soporte activo, es probable que los parches de seguridad sean implementados en las versiones de OpenSSL que acompañan a estas distribuciones. En tal caso, esta actualización estaría a cargo  de la organización responsable de la distribución, y no del proyecto OpenSSL en sí.

Alternativas

Para el caso de todos los demás usuarios afectados, una actualización a OpenSSL 1.0.1 solo constituye una solución temporal. Esto se debe a que el proyecto OpenSSL sólo ofrecerá soporte para la versión OpenSSL 1.0.1 hasta el 31 de diciembre de 2016.

Una solución de largo plazo es utilizar OpenSSL 1.0.2, que contará con soporte hasta el 31 de diciembre de 2019. Esta versión es denominada LTS (Long Term Support) que, como su nombre en inglés lo indica, estará respaldada a largo plazo.

El proyecto OpenSSL también prepara una actualización de mayor envergadura, anunciada para el 28 de abril de 2016. Esta versión contará con soporte durante dos años, y es poco probable que sea distribuida como LTS.

Durante un prolongado período de 2014, OpenSSL se vio afectada por grandes problemas de seguridad (ver artículos de referencia sobre Heartbleed), que se vieron en parte solucionados cuando la entidad recibió recursos económicos para su gestión. Los problemas en sí motivaron además la creación de soluciones alternativas, basadas en parte en el mismo código fuente, como por ejemplo BoringSSL de Google.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022