En esta ocasión el proyecto OpenSSL acaba de publicar
un boletín advirtiendo de la corrección de nueve nuevas vulnerabilidades, que
afectan a las tres principales ramas del proyecto, aunque no son tan graves
como las últimas anunciadas.
Recursos fectados
- Los problemas afectan a las versiones OpenSSL 0.9.8, 1.0.0 y 1.0.1.
- El primero de los problemas (CVE-2014-3508) reside en OBJ_obj2txt que puede provocar una fuga de información con determinadas funciones de impresión. Un segundo problema (CVE-2014-5139) afecta a clientes OpenSSL 1.0.1 SSL/TLS y podría permitir a un servidor malicioso provocar denegaciones de servicio por una dereferencia de puntero nulo. También se presenta una condición de carrera en ssl_parse_serverhello_tlsext (CVE-2014-3509).
- Otras vulnerabilidades de denegación de servicio se deben a una doble liberación de memoria al procesar paquetes DTLS (CVE-2014-3505), por un consumo de grandes cantidades de memoria mientras se procesan mensajes de negociación DTLS(CVE-2014-3506), por una fuga de memoria por el tratamiento de paquetes DTLS con fragmentos de tamaño 0 (CVE-2014-3507) y por una dereferencia de puntero nulo en clientes OpenSSL DTLS con suites de cifrado EC(DH) anónimo (CVE-2014-3510).
- Otro problema, se da cuando el mensaje ClientHello está muy fragmentado, lo que puede obligar a servidores OpenSSL 1.0.1 SSL/TLS a negociar TLS 1.0 en vez de versiones del protocolo más modernas (CVE-2014-3511).
- Por último, un cliente o servidor malicioso podría enviar parámetros SRP no válidos y sobreescribir un búfer interno. Solo se ven afectadas las aplicaciones configuradas explícitamente para SRP.
- Se han publicado las versiones OpenSLL 0.9.8zb, 1.0.0n y 1.0.1i que solucionan los problemas descritos y pueden descargarse desde http://www.openssl.org/source/
- OpenSSL Security Advisory [6 Aug 2014] http://www.openssl.org/news/secadv_20140806.txt
