NUEVA VERSIÓN DE OPENSSL CORRIGE DOS VULNERABILIDADES, UNA DE ELLAS DE IMPACTO ALTO

Publicado el 30 enero 2016 ¬ 18:52 pmh.mscComentarios desactivados en NUEVA VERSIÓN DE OPENSSL CORRIGE DOS VULNERABILIDADES, UNA DE ELLAS DE IMPACTO ALTO

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de
OpenSSL destinadas a corregir dos vulnerabilidad, una calificada de
impacto alto y otra de gravedad baja.

El primero de los problemas, de gravedad alta, reside en una
vulnerabilidad (con CVE-2016-0701) en OpenSSL 1.0.2 por la generación
de números primos considerados inseguros. Históricamente OpenSSL sólo
ha generado parámetros Diffie–Hellman (DH) en base a los números primos
“seguros”. En la versión 1.0.2 se proporcionó soporte para la generación
de archivos de parámetros de estilo X9.42 tal como se requería para
soportar el RFC 5114. Sin embargo los números primos utilizados en
este tipo de archivos puede que no sean “seguros”. Un atacante podría
utilizar este problema para descubrir el exponente privado DH de un
servidor TLS si se está reutilizando o se usa un conjunto de cifrado
DH estático.

Por otra parte, con CVE-2015-3197 y gravedad baja, una vulnerabilidad
que podría permitir a un cliente malicioso negociar cifrados SSLv2
desactivados en el servidor y completar negociaciones SSLv2 incluso
aunque todos los cifrados SSLv2 hayan sido desactivados. La única
condición es que el protocolo SSLv2 no haya sido también desactivado a
través de SSL_OP_NO_SSLv2. Este problema afecta a OpenSSL versiones
1.0.2 y 1.0.1.

También se incluye una actualización referente a la ya conocida logjam
(de la que ya hablamos en una-al-día) de junio del pasado año y ya
solucionada. Recordamos que reside en una vulnerabilidad (con
CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante
que haga uso de técnicas de “hombre en el medio” degradar la seguridad
de las conexiones TLS a 512 bits. En su momento OpenSSL corrigió Logjam
en las versiones 1.0.2b y 1.0.1n rechazando conexiones menores de 768
bits. En la actualidad este límite se ha incrementado a 1024 bits.

OpenSSL ha publicado las versiones 1.0.2f y 1.0.1r disponibles desde
http://openssl.org/source/

Ver información al respecto en Fuente:
http://unaaldia.hispasec.com/2016/01/openssl-soluciona-dos-vulnerabilidad es.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies