El proyecto OpenSSL ha confirmado una nueva vulnerabilidad cuyo impacto no ha desvelado.
Detalle y supuesto
Impacto de la vulnerabilidad
- El
problema reside en una condición de carrera si un cliente multihilo recibe
un NewSessionTicket cuando intenta reusar un ticket anterior, lo que
podría dar lugar a problema de doble liberación de memoria en los datos
del ticket.
- Se le ha asignado el CVE-2015-1791
Recomendación
- OpenSSL ha publicado una actualización en
forma de código disponible desde https://git.openssl.org/?p=openssl.git;a=commit;h=98ece4eebfb6cd45cc8d550c6ac0022965071afc
Más información:
- Fix race condition in NewSessionTicket https://git.openssl.org/?p=openssl.git;a=commit;h=98ece4eebfb6cd45cc8d550c6ac0022965071afc