OpenSSL ha
publicado una vulnerabilidad de tipo 0-byte record padding oracle que podría
permitir a un atacante remoto descifrar datos y obtener información
confidencial, catalogada de importancia: 3 media
Recursos afectados:
- OpenSSL 1.0.2
Recomendación
Actualizar
a las versiones 1.0.2r o 1.1.1
Actualmente
solo reciben actualizaciones de seguridad OpenSSL las versiones 1.0.2 y 1.1.0.
Para la versión 1.0.2, el soporte finalizará el 31 de diciembre de 2019 y para
la versión 1.1.0, el 11 septiembre de 2019. Los usuarios de estas versiones
deben actualizar a OpenSSL 1.1.1
Detalle de vulnerabilidades:
Si una
aplicación encuentra un error fatal de protocolo y luego llama dos veces a la
función SSL_shutdown(), una para enviar close_notify y otra para recibirlo,
OpenSSL podría responder de forma diferente a la aplicación que llama,
dependiendo de si recibe un registro de 0 bytes con un padding inválido o de si
recibe un registro de 0 bytes con una MAC inválida. Si la aplicación se
comporta de forma diferente a lo esperado por el remote peer, se podrían
descifrar datos y obtener información confidencial mediante un ataque de
padding oracle. Se ha asignado el identificador CVE-2019-1559 para esta
vulnerabilidad.
Más inforamación
- OpenSSL Security Advisory https://www.openssl.org/news/secadv/20190226.txt
- OpenSSL
Releases Security Update https://www.us-cert.gov/ncas/current-activity/2019/02/26/OpenSSL-Releases-Security-Update
Fuente: INCIBE