OpenSSL soluciona cuatro vulnerabilidades

Publicado el 6 diciembre 2015 ¬ 10:19 amh.mscComentarios desactivados en OpenSSL soluciona cuatro vulnerabilidades

OpenSSL ha anunciado la publicación de nuevas versiones destinadas a corregir cuatro vulnerabilidades, tres de ellas calificadas de impacto moderado y una última de gravedad baja.

En primer lugar OpenSSL avisa que esta será la última actualización para
las ramas 1.0.0 y 0.9.8; a no ser que algún problema significativo antes
del 31 de diciembre (fecha de final de soporte) obligue a publicar una
actualización de urgencia. Esto podría representar un problema para
determinadas aplicaciones corporativas y más concretamente para algunos
dispositivos y sistemas empotrados que incluyen estas versiones más
antiguas, y para los que las actualizaciones son más raras o
complicadas.

El primero de los problemas, de gravedad moderada, reside en una
vulnerabilidad (con CVE-2015-3193) en la función BN_mod_exp que puede
producir resultados incorrectos en sistemas x86_64. Solo afecta a
OpenSSL 1.0.2 y puede explotarse contra los algoritmos RSA, DSA (Digital
Signature Algorithm) y Diffie–Hellman (DH). Aunque el ataque puede ser
complejo e incluso requerir una cantidad significativa de recursos.

Una vulnerabilidad (de gravedad moderada) de denegación de servicio
relacionada con la verificación de firmas de certificados
(CVE-2015-3194) y que afecta a las versiones 1.0.2 y 1.0.1. Se ven
afectadas cualquier aplicación que realice verificación de certificados,
incluyendo clientes y servidores OpenSSL que permitan la autenticación
de clientes.

También de gravedad moderada, una fuga de memoria cuando se presenta con
una estructura “X509_ATTRIBUTE” (CVE-2015-3195). Se ven afectadas todas
las versiones de OpenSSL.

Por último, una vulnerabilidad de gravedad baja que podría dar lugar a
una condición de carrera (CVE-2015-3196). Este fallo ya había sido
corregido en OpenSSL 1.0.2d y 1.0.1p, aunque no había sido anunciado en
un aviso de seguridad. El problema también afecta a OpenSSL 1.0.0, que
se actualiza en la nueva versión 1.0.0t

OpenSSL ha publicado las versiones 1.0.2e, 1.0.1q, 1.0.0t y 0.9.8zh
disponibles desde
http://openssl.org/source/

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2015/12/openssl-soluciona-cuatro.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies