OpenSSL ha liberado actualización que corrige múltiples vulnerabilidades
OpenSSL | < | 0.9.71 |
OpenSSL | < | 0.9.8d |
OpenSSL | == | 0.9.7 |
Vulnerabilidades de negación de servicio (CVE-2006-2937, CVE-2006-2940)
1.- Durante el parseo de ciertas estructuras ASN.1 inválidas se descubrió que una validación en una condición es incorrecta. Lo que puede permitir un ciclo infinito que consume la memoria del sistema (CVE-2006-2937)(esta falla no afecta las versiones de OpenSSL anteriores a 0.9.7)
2.- Ciertos tipos de llaves públicas pueden tener el tiempo desproporcionado de proceso. Esto puede permitir una negación de servicio.
Cualquier código que use OpenSSL para datos ASN.1 de códigos desconfiados son afectados. Esto incluye servidores SSL con la autenticación de clientes habilitados y aplicaciones S/MIME.
Buffer overflow en la función SSL_get_shared_ciphers() (CVE-2006-3738)
Un buffer overflow ha sido descubierto en la utilización de la función SSL_get_shared_ciphers(). Un atacante puede enviar una lista cifrada a una aplicación que use esta función y un buffer overrun. (CVE-2006-3738).
Caída del cliente SSLv2 (CVE-2006-4343)
Una falla en el código del cliente SSLv2 fue descubierta. Cuando una aplicación del cliente usa OpenSSL para crear una conexión SSLv2 para un servidor maliciosa, este servidor puede causar la caída del cliente (CVE-2006-4343).
Los usuarios que no cuenten con estas actualizaciones son vulnerables a ataques de:
1.- Negación de Servicio
2.- Buffer Overflow
3.- Caída del sistema
Estas vulnerabilidades son resueltas en las siguientes versiones de OpenSSL:
versión 0.9.71
versión 0.9.8d
OpenSSL 0.9.8d y OpenSSL 0.9.8d y OpenSSL 0.9.71 estan disponibles para descargarse via http y FTP desde las siguientes ubicaciones:
o http://www.openssl.org/source/
o ftp://ftp.openssl.org/source/
Los nombres de archivos son los siguientes:
o openssl-0.9.8d.tar.gz
MD5 checksum: 8ed1853538e1d05a1f5ada61ebf8bffa
SHA1 checksum: 4136fba00303a3d319d2052bfa8e1f09a2e12fc2
o openssl-0.9.7l.tar.gz
MD5 checksum: b21d6e10817ddeccf5fbe1379987333e
SHA1 checksum: f0e4136639b10cbd1227c4f7350ff7ad406e575d
Después de actualizar seguramente es necesario recompilar cualquier aplicación ligada estáticamente a las librerías de OpenSSL y reiniciar todas las aplicaciones que usen OpenSSL.
http://www.openssl.org/news/secadv_20060928.txt
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT