Openssl es una api que proporciona un entorno adecuado para encriptar los datos enviados a otra computadora dentro de una red y a su vez desencriptarlos adecuadamente por el receptor, evitando así, el acceso a la información por intrusos con la utilización de sniffer.
El conjunto de herramientas OpenSSL es una característica de FreeBSD que ofrece una capa cifrada de transporte sobre la capa normal de comunicación, permitiendo la combinación con muchas aplicaciones y servicios de red.
Vulnerabilidades
Se han anunciado dos vulnerabilidades en OpenSSL, que podrían permitir a un atacante remoto construir ataques de hombre en el medio o de denegación de servicio.
El primero de los problemas (con CVE-2013-6450) reside en la implementación del protocolo DTLS ya que no mantiene adecuadamente las estructuras de datos para los contextos de cifrado y resumen. Un
atacante remoto podría emplear este problema para contruir ataques de hombre en el medio.
Por otra parte, con CVE-2013-6449, la función ssl_get_algorithm2() en ‘ssl/s3_lib.c’ usa un número de versión incorrecto. Lo que podría permitir a un usuario remoto provocar una caída del servicio mediante
el envío de datos manipulados (usando TLS 1.2).
Se han publicado actualizaciones en forma de código en:
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=34628967f1e65dc8f34e000f0f5518e21afbfc7b
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=ca989269a2876bae79393bd54c3e72d49975fc75
Fuente: http://unaaldia.hispasec.com/2014/01/vulnerabilidades-en-openssl.html