OpenSSL soluciona tres vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de
OpenSSL destinada a corregir tres vulnerabilidades, una calificada de
impacto alto, otra de importancia media y una de gravedad baja.

OpenSSL es un desarrollo “Open Source” que implementa los protocolos
SSL y TLS, y que es utilizada por multitud de programas, tanto para
implementar dichos protocolos (por ejemplo, HTTPS) como para emplear
sus componentes criptográficos individuales (funciones de cifrado y
“hash”, generadores de claves, generadores pseudoaleatorios, etc).

El primer problema reside en una vulnerabilidad (CVE-2016-7054), de
gravedad alta, que podría permitir la realización de ataques de
denegación de servicio en conexiones que usen las suites de cifrado
*-CHACHA20-POLY1305.

Por otra parte, de gravedad media, con CVE-2016-7053, un problema
en el tratamiento de estructuras CMS inválidas puede provocar una
desreferencia a puntero nulo y la consiguiente denegación de servicio.

Por último, de gravedad baja (CVE-2016-7055), un error en el
procedimiento de multiplicación Broadwell-specific Montgomery en cierta
longitud de datos. Un usuario remoto puede enviar datos especialmente
diseñados en ciertos casos para provocar errores en operaciones de clave
pública en configuraciones en las que múltiples clientes remotos
seleccionan el algoritmo EC afectado y donde el servidor de atacado
comparte una clave privada entre múltiples clientes. También pueden
ocurrir fallos de autenticación transitoria y de negociación de claves.

OpenSSL ha publicado la versión 1.1.0c disponible desde
http://openssl.org/source/

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban
su soporte a finales de año.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/11/openssl-soluciona-tres-vulnerabilidades.html#comment-form