CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/09/2016

Actualización de seguridad de OpenSSL

Se ha encontrado una vulnerabilidad crítica de denegación de servicio en OpenSSL

Riesgo: Crítico

La vulnerabilidad de OpenSSL radica en la forma en que implementa OCSP y puede ser explotada si se utiliza la configuración por defecto e incluso si OpenSSL no soporta OCSP.

La vulnerabilidad puede ser explotada remotamente y consiste en que se pueden enviar grandes paquetes "OCSP Status Request" a un determinado servidor durante la negociación de la conexión, esto causaría un consumo tan elevado de memoria que podría provocar una denegación de servicio en el servidor.

Sistemas Afectados:

Versiones anteriores a OpenSSL 1.1.0a

Referencias:

CVE-2016-6304

Solución:

Es necesario actualizar la librería a la última versión OpenSSL 1.1.0a y, si no se puede actualizar, es posible mitigar este fallo con la opción "no-ocsp" o directamente filtrarlo en el IDS/IPS de la organización.

Además de este fallo, OpenSSL 1.1.0a soluciona otras 14 vulnerabilidades entre las que se encuentran las de SWEET32, publicada el mes pasado y que afecta a los protocolos Triple-DES (3DES) y Blowfish.

Un detalle muy importante es que la versión OpenSSL 1.0.1 dejará de tener soporte a finales de este año, por lo que es recomendable migrar a la versión de OpenSSL 1.0.2 e incluso a la 1.1.0.

Notas: None
Fuente: Segu-Info

CSIRT-CV