Nueva versión de OpenSSL soluciona 6 vulnerabilidades
OpenSSL ha publicado un aviso de seguridad con las vulnerabilidades que
se han parcheado en sus últimas versiones, la 1.0.0f y 0.9.8s.
OpenSSL es un conjunto de herramientas de código abierto destinadas a
implementar los protocolos SSL v2 y v3 y TLS v1, además de una librería
de criptográfica de propósito general.
CVE-2011-4108: Se trata de un ataque contra la implementación de DTLS
(Datagram TLS). Permite una recuperación eficiente del texto plano a
través de la medición del tiempo de descifrado. Importante señalar que
el problema se encuentra en la implementación de DTLS realizada en
OpenSSL, no el protocolo en sí.
CVE-2011-4109: Cuando el flag ‘X509_V_FLAG_POLICY_CHECK’ se encontraba
activado, un fallo podría incurrir en un error de doble liberación de
memoria. Los usuarios de la rama 1.0.0 no se ven afectados.
CVE-2011-4576: Esta vulnerabilidad afecta tanto al cliente como al
servidor de OpenSSL. El error se encontraba al no limpiar correctamente
las zonas de memoria utilizadas para servir de relleno en los cifrados
por bloque.
CVE-2011-4577: Las instalaciones de OpenSSL que permitiesen la
utilización del RFC 3779 (desactivada por defecto) podrían ser objetivo
de ataques de denegación de servicio al incluir datos especialmente
manipulados.
CVE-2011-4619: En caso de que ‘Server Gated Cryptograpy’ (SGC)
permitiese el reinicio de ‘handshake’, podría ser aprovechado con el fin
de causar una denegación de servicio.
CVE-2012-0027: Los usuarios del motor GOST de OpenSSL a los que se
conectase un cliente TLS malicioso podrían ser objetivo de un ataque de
denegación de servicio. El método utilizado sería el envío de parámetros
GOST incorrectos al servidor aprovechando una falta de las
comprobaciones de error.
Todas estas vulnerabilidades se han solucionado en las versiones 1.0.0f
y 0.9.8s de OpenSSL, a las cuales se recomienda actualizar.
http://openssl.org/source/
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.