8 de octubre de 2016

OpenSSL. Vulnerabilidad de uso después de liberación de memoria

OpenSSL ha publicado un boletín en el que se corrigen dos vulnerabilidades, incluida una de alta criticidad que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario o causar una denegación de servicio (DoS), catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • OpenSSL 1.1.0a (.0)
Recomendación
  • Para los usuarios con OpenSSL 1.1.0: Actualizar a 1.1.0b
  • Para los usuarios con OpenSSL 1.0.2i: Actualizar a 1.0.2j
  • Descargar las actualizaciones desde el siguiente enlace https://www.openssl.org/source/
Detalle e Impacto de la vulnerabilidad
  • La versión OpenSSL 1.1.0 está afectada por una vulnerabilidad crítica debida a la insuficiente comprobación de los parámetros de entrada. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un mensaje mayor de 16 KB al sistema afectado. Un exploit podría desencadenar una condición de uso después de liberación que el atacante podría aprovechar para ejecutar código arbitrario o causar la caída de la aplicación.
Más información
Fuente: INCIBE