Anunciadas dos vulnerabilidades en OpenSSL, que podrían permitir a un atacante remoto construir ataques de hombre en el medio o de denegación de servicio.
Detalle
e Impacto de las vulnerabilidades
- La primera vulnerabilidad, con CVE-2013-6450, reside en la implementación del protocolo DTLS ya que no mantiene adecuadamente las estructuras de datos para los contextos de cifrado y resumen. Un atacante remoto podría emplear este problema para contruir ataques de hombre en el medio.
- En la segunda vulnerabilidad, con CVE-2013-6449, la función ssl_get_algorithm2() en 'ssl/s3_lib.c' usa un número de versión incorrecto. Lo que podría permitir a un usuario remoto provocar una caída del servicio mediante el envío de datos manipulados (usando TLS 1.2).
Recomendación
Se han publicado actualizaciones en forma de código en:
Más información:
- Fix DTLS retransmission from previous session http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=34628967f1e65dc8f34e000f0f5518e21afbfc7b
- Use version in SSL_METHOD not SSL structure http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=ca989269a2876bae79393bd54c3e72d49975fc75
Fuente:
Hispasec