7 de diciembre de 2015

OPENSSL . Detectadas multiples Vulnerabilidades

Se han publicado varias vulnerabilidades en OpenSSL catalogadas de Importancia: 3 - Media
Recursos afectados
Las siguientes versiones de OpenSSL se ven afectadas por una o varias de estas vulnerabilidades:
  1. OpenSSL 1.0.2
  2. OpenSSL 1.0.1
  3. OpenSSL 1.0.0
  4. OpenSSL 0.9.8
Recomendación
 Actualizar a alguna de las siguientes versiones:
  • 0.9.8zh
  • 1.0.0t
  • 1.0.1q
  • 1.0.2e
Detalle e Impacto de la vulnerabilidad
  1. BN_mod_exp puede producir resultados incorrectos en x86_64.- Aunque la cantidad de recursos necesarios puede ser elevada, es posible realizar ataques sobre DH para deducir información sobre la clave privada. Los algoritmos de curva elíptica no están afectados. Se ha reservado el identificador CVE-2015-3193 para esta vulnerabilidad
  2. Denegación de servicio en la verificación de certificados sin el parámetro PSS.- Es posible causar una DoS con una referencia a puntero nulo si se presenta una firma ASN.1 utilizando RSA PSS sin el parámetro de generación de máscara. Se ha reservado el identificador CVE-2015-3194 para esta vulnerabilidad
  3. Memory leak en el atributo X509_ATTRIBUTE.- Utilizando una estructura X509_ATTRIBUTE malformada, OpenSSL producirá una fuga de memoria. SSL/TLS no está afectado. Se ha reservado el identificador CVE-2015-3195 para esta vulnerabilidad
  4. Condición de carrera manejando PSK identity hints.- Si se reciben PSK Identity hints en un cliente multihilo los valores se actualizan incorrectamente en la estructura SSL_CTX padre, creando una condición de carrera que podría derivar en una vulnerabilidad de double free. Se ha reservado el identificador CVE-2015-3196 para esta vulnerabilidad
Más información
Fuente: INCIBE