Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Bug en strongSwan IPsec VPN
El software de código abierto IPsec VPN de strongSwan acepta potencialmente firmas digitales y certificados inválidos para conexiones IPsec. Los desarrolladores reportaron que este problema afecta las versiones de 4.3.5 hasta la 5.0.3, pero solo si el backend de OpenSSL está habilitado con la opción --enable-openssl, por defecto las bibliotecas usadas no son vulnerables.
El problema se presenta cuando se verifican las firmas que están basadas en el algoritmo de firma digital con curva elíptica (ECDSA por sus siglas en inglés). Si tales firmas son verificadas utilizando el plugin de OpenSSL, strongSwan manejará firmas vacías, no válidas y las tomará como legítimas. Los desarrolladores comentan que tanto las versiones 1 y 2 del protocolo IKE están afectadas.
