11 de marzo de 2019

Vulnerabilidad 0-byte record padding oracle en OpenSSL

OpenSSL ha publicado una vulnerabilidad de tipo 0-byte record padding oracle que podría permitir a un atacante remoto descifrar datos y obtener información confidencial, catalogada de importancia: 3 media
Recursos afectados:
  • OpenSSL 1.0.2
Recomendación
Actualizar a las versiones 1.0.2r o 1.1.1
Actualmente solo reciben actualizaciones de seguridad OpenSSL las versiones 1.0.2 y 1.1.0. Para la versión 1.0.2, el soporte finalizará el 31 de diciembre de 2019 y para la versión 1.1.0, el 11 septiembre de 2019. Los usuarios de estas versiones deben actualizar a OpenSSL 1.1.1
Detalle de vulnerabilidades:
Si una aplicación encuentra un error fatal de protocolo y luego llama dos veces a la función SSL_shutdown(), una para enviar close_notify y otra para recibirlo, OpenSSL podría responder de forma diferente a la aplicación que llama, dependiendo de si recibe un registro de 0 bytes con un padding inválido o de si recibe un registro de 0 bytes con una MAC inválida. Si la aplicación se comporta de forma diferente a lo esperado por el remote peer, se podrían descifrar datos y obtener información confidencial mediante un ataque de padding oracle. Se ha asignado el identificador CVE-2019-1559 para esta vulnerabilidad.
Más inforamación
Fuente: INCIBE