CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/11/2017

Actualización de seguridad de la librería OpenSSL

OpenSSL soluciona dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.

Riesgo: Medio

El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico. 

El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado. 

Sistemas Afectados:

OpenSSL

Referencias:

CVE-2017-3736, CVE-2017-3735

Solución:

Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.

Notas:

OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20171102.txt

Fuente: Hispasec una-al-día

CSIRT-CV