OpenSSL ha
publicado actualizaciones que resuelven varias vulnerabilidades, entre ellas
POODLE . La actualización de ha catlogado
de Importancia: 4 - Alta
Recursos afectados
· OpenSSL,
versiones 1.0.1, 1.0.0 y 0.9.8.
Recomendación
1) OpenSSL 1.0.1: actualizar a 1.0.1j.
2) OpenSSL 1.0.0: actualizar a 1.0.0o.
3) OpenSSL 0.9.8: actualizar a 0.9.8zc.
Detalle e Impacto de las
vulnerabilidades detectadas
1)
Fuga de memoria SRTP.- Una debilidad en la extension
DTLS SRTP permite a un atacante causar una fuga de memoria enviando un mensaje
de handshake modificado. Se ha reservado el identificador CVE-2014-3513 para
esta vulnerabilidad.
2)
Fuga de memoria con ticket de sesion.- Cuando el servidor recibe un
ticket de sesion, este verifica su integridad, y si esta verificación falla se
produce una fuga de memoria. Es posible causar una denegación de servicio
enviando múltiples tickets inválidos. Se ha reservado el identificador
CVE-2014-3567 para esta vulnerabilidad.
3)SSL 3.0 Fallback protection.- Se añade soporte para
TLS_FALLBACK_SCSV.
4)
La opción no-ssl3 es incompleta.- Cuando se compila OpenSSL con
no-ssl3, los servidores podrían aceptar y completar un handshake SSL 3.0. Se ha
reservado el identificador CVE-2014-3568 para esta vulnerabilidad.
Más
información
Fuente: INTECO