Vulnerabilidades en OpenSSL

Seguridad

Importancia:
3 – Media
Fecha de publicación:
04/12/2015

Recursos afectados

Las siguientes versiones de OpenSSL se ven afectadas por una o varias de estas vulnerabilidades:

  • OpenSSL 1.0.2
  • OpenSSL 1.0.1
  • OpenSSL 1.0.0
  • OpenSSL 0.9.8

Descripción

Se han publicado varias vulnerabilidades en OpenSSL.

Solución

Actualizar a alguna de las siguientes versiones:

  • 0.9.8zh
  • 1.0.0t
  • 1.0.1q
  • 1.0.2e

Detalle

BN_mod_exp puede producir resultados incorrectos en x86_64

Aunque la cantidad de recursos necesarios puede ser elevada, es posible realizar ataques sobre DH para deducir información sobre la clave privada. Los algoritmos de curva elíptica no están afectados.

Se ha reservado el identificador CVE-2015-3193 para esta vulnerabilidad

Denegación de servicio en la verificación de certificados sin el parámetro PSS

Es posible causar una DoS con una referencia a puntero nulo si se presenta una firma ASN.1 utilizando RSA PSS sin el parámetro de generación de máscara.

Se ha reservado el identificador CVE-2015-3194 para esta vulnerabilidad

Memory leak en el atributo X509_ATTRIBUTE

Utilizando una estructura X509_ATTRIBUTE malformada, OpenSSL producirá una fuga de memoria. SSL/TLS no está afectado.

Se ha reservado el identificador CVE-2015-3195 para esta vulnerabilidad

Condición de carrera manejando PSK identity hints

Si se reciben PSK Identity hints en un cliente multihilo los valores se actualizan incorrectamente en la estructura SSL_CTX padre, creando una condición de carrera que podría derivar en una vulnerabilidad de double free.

Se ha reservado el identificador CVE-2015-3196 para esta vulnerabilidad

Referencias


Descubre más desde Serboweb Informática Ingeniería: Soluciones de Desarrollo Web, SEO y Software a Medida

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Descubre más desde Serboweb Informática Ingeniería: Soluciones de Desarrollo Web, SEO y Software a Medida

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo