26 de abril de 2017

Varias vulnerabilidades en mbed TLS de ARM

Se han publicado tres vulnerabilidades (una de criticidad alta) en el software mbed TLS de ARM que podrían permitir a un atacante remoto la ejecución de código remoto o provocar la denegación del servicio, catalogadas de Importancia: 4 - Alta
Recursos afectados:
  1. mbed TLS1.4 y superiores
  2. mbed TLS 2.4.0 y mbed 2.4.1
  3. versiones de mbed TLS anteriores a 1.3.19
  4. versiones de mbed TLS anteriores a 2.1.7
  5. versiones de mbed TLS anteriores a 2.4.2
Detalle e impacto de las vulnerabilidades
  • La vulnerabilidad, de criticidad alta, puede ser provocada por un certificado con una llave pública secp224k1 especialmente manipulada que haga que el servidor o el cliente intenten librerar un bloque de memoria de la pila. Según la plataforma sobre la que se ejecute la vulnerabilidad se puede provocar DoS o ejecución de código remoto.
Recomendación
Actualizar a las siguientes versiones que solucionan estas vulnerabilidades:
  • mbed TLS 1.3.19
  • mbed TLS 2.1.7
  • mbed TLS 2.4.2.
Más información
Fuente: INCIBE