Los parches incluídos en OpenSSL 1.0.0p, 1.0.1k y 0.98zd no son para vulnerabilidades críticas, pero arreglan algunas vulnerabilidades interesantes de las cuales dos son consideradas moderadas y las otras seis de bajo riesgo. Ninguna de las vulnerabilidades pueden permitir la ejecución remota de código, de acuerdo con el Boletín de OpenSSL, pero algunas podrían ser utilizados para colgar servidores afectados.
Uno de los errores moderados es una pérdida de memoria en el registro de amortiguamiento de la aplicación DTLS, que podría permitir al atacante provocar una condición de denegación de servicio en las máquinas vulnerables.
"Una pérdida de memoria puede ocurrir en la función dtls1_buffer_record bajo ciertas condiciones. En particular, esto puede ocurrir si un atacante envía un registro DTLS repetido con el mismo número de secuencia. La pérdida de memoria podría ser aprovechada por un atacante en una denegación de servicio a través del agotamiento de la memoria", afirma el aviso.
La otra vulnerabilidad moderada también está presente en DTLS y resulta en una condición DoS si un atacante envía un mensaje DTLS malicioso a un servidor vulnerable. El paquete provocará un fallo de segmentación en OpenSSL debido a una referencia NULL.
Entre otras vulnerabilidades arregladas en las nuevas versiones hay un puñado de problemas relacionados con los certificados, todos ellos considerados de bajo riesgo. Una de las vulnerabilidades puede permitir al atacante, bajo algunas condiciones, eliminar confidencialidad directa desde un servidor.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT