Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/03/2012
La implementación de Cryptographic Message Syntax (CMS) y PKCS #7 en OpenSSL, antes de la versión 0.9.8u, y 1.x antes de la versión 1.0.0h, no restringe adecuadamente ciertos "oracle behavior", lo que facilitaría a un atacante dependiente del contexto descifrar datos a través de un ataque de tipo "Million Message Attack" (MMA).
Sistemas Afectados:OpenSSL anteriores a la versión 0.9.8u
OpenSSL 1.x anteriores a la versión 1.0.0h
CVE-2012-0884
Solución:Actualizar OpenSSL a la versión 1.0.0h o 0.9.8u.
Notas:http://www.openssl.org/news/secadv_20120312.txt