Actualización de seguridad de la librería OpenSSL
OpenSSL ha publicado una actualización de la popular librería, en la que se han corregido dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.
El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Este fallo solo afecta a procesadores que soportan las extensiones BMI1, BMI2 y ADX, por ejemplo, los procesadores Intel Broadwell y posteriores o los AMD Ryzen.
Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico. Este fallo posee el CVE-2017-3736.
El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado. Posee el CVE-2017-3735. Como dato curioso, ha estado presente en las librerías OpenSSL desde el año 2006.
Ambos fallos han sido hallados por el equipo del proyecto OOS-Fuzz patrocinado por Google.
Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.
Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Ver información original al respecto en Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.