OpenSSL soluciona cuatro vulnerabilidades
OpenSSL ha anunciado la publicación de nuevas versiones destinadas a corregir cuatro vulnerabilidades, tres de ellas calificadas de impacto moderado y una última de gravedad baja.
En primer lugar OpenSSL avisa que esta será la última actualización para
las ramas 1.0.0 y 0.9.8; a no ser que algún problema significativo antes
del 31 de diciembre (fecha de final de soporte) obligue a publicar una
actualización de urgencia. Esto podría representar un problema para
determinadas aplicaciones corporativas y más concretamente para algunos
dispositivos y sistemas empotrados que incluyen estas versiones más
antiguas, y para los que las actualizaciones son más raras o
complicadas.
El primero de los problemas, de gravedad moderada, reside en una
vulnerabilidad (con CVE-2015-3193) en la función BN_mod_exp que puede
producir resultados incorrectos en sistemas x86_64. Solo afecta a
OpenSSL 1.0.2 y puede explotarse contra los algoritmos RSA, DSA (Digital
Signature Algorithm) y Diffie–Hellman (DH). Aunque el ataque puede ser
complejo e incluso requerir una cantidad significativa de recursos.
Una vulnerabilidad (de gravedad moderada) de denegación de servicio
relacionada con la verificación de firmas de certificados
(CVE-2015-3194) y que afecta a las versiones 1.0.2 y 1.0.1. Se ven
afectadas cualquier aplicación que realice verificación de certificados,
incluyendo clientes y servidores OpenSSL que permitan la autenticación
de clientes.
También de gravedad moderada, una fuga de memoria cuando se presenta con
una estructura “X509_ATTRIBUTE” (CVE-2015-3195). Se ven afectadas todas
las versiones de OpenSSL.
Por último, una vulnerabilidad de gravedad baja que podría dar lugar a
una condición de carrera (CVE-2015-3196). Este fallo ya había sido
corregido en OpenSSL 1.0.2d y 1.0.1p, aunque no había sido anunciado en
un aviso de seguridad. El problema también afecta a OpenSSL 1.0.0, que
se actualiza en la nueva versión 1.0.0t
OpenSSL ha publicado las versiones 1.0.2e, 1.0.1q, 1.0.0t y 0.9.8zh
disponibles desde
http://openssl.org/source/
Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2015/12/openssl-soluciona-cuatro.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.