OpenSSL soluciona ocho vulnerabilidades

Publicado el 2 marzo 2016 ¬ 12:21 pmh.mscComentarios desactivados en OpenSSL soluciona ocho vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de
OpenSSL destinadas a corregir ocho vulnerabilidades, dos calificadas de
impacto alto, una de gravedad media y otras cinco de importancia baja.

El primero y más destacado de los problemas reside en una
vulnerabilidad, de gravedad alta, que puede permitir descifrar sesiones
TLS mediante el uso de un servidor que soporte SSLv2 y suites de cifrado
de categoría EXPORT. Una vulnerabilidad de esas que llevan nombre, logo
y hasta página web, bautizada como DROWN (Decrypting RSA with Obsolete
and Weakened eNcryption).

DROWN (con identificador CVE-2016-0800) es una nueva forma de protocolo
cruzado Bleichenbacher padding oracle attack, que permite a un atacante
descifrar conexiones TLS interceptadas mediante conexiones
específicamente creadas a un servidor SSLv2 que use la misma clave
privada.

Por otra parte, dos vulnerabilidades, una de gravedad alta y otra
moderada (con CVE-2016-0703 y CVE-2016-0704), que solo afectan a
versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el
código fue rediseñado para hacer frente a la vulnerabilidad
CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2,
1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL
1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.

La importancia de señalar estos problemas en la actualidad reside en que
cualquiera de los dos pueden permitir versiones más eficientes de DROWN,
incluso eficaces contra conjuntos de cifrado que no sean de exportación,
y sin necesidad de requerir un cálculo significativo.

De gravedad baja, una vulnerabilidad de denegación de servicio por una
dobre liberación cuando OpenSSL trata claves DSA privadas mal
construidas (CVE-2016-0705), una fuga de memoria en búsquedas SRP
(CVE-2016-0798), referencia a puntero nulo y corrupción de heap en
funciones BN_hex2bn y BN_dec2bn (CVE-2016-0797) y problemas de memoria
en funciones BIO_*printf (CVE-2016-0799).

OpenSSL ha publicado las versiones 1.0.2g y 1.0.1s disponibles desde
http://openssl.org/source/

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban
su soporte a finales de año.

Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/03/openssl-soluciona-ocho-vulnerabilidades.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies