Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/02/2013
Actualización de seguridad para OpenSSL
Se ha actualizado OpenSSL para arreglar una vulnerabilidad que permitiría a un atacante realizar ataques de Man In The Middle en determinadas circunstanciasRiesgo: Medio
Según los investigadores, la vulnerabilidad permitiría llevar a cabo ataques man-in-the-middle con los que se podría conseguir conexiones TLS/DTLS en texto plano, cuando el modo de operación CBC (Cipher-block chain) está habilitado. Un error de temporización en la forma en la que trabaja el descifrado TLS cuando se utiliza CBC permitiría, cuando se dan una serie de circunstancias, que un atacante pudiera descifrar información confidencial como contraseñas o cookies. Esta vulnerabilidad es parcialmente mitigada cuando se utiliza OpenSSL junto con el módulo OpenSSL FIPS Object y cuando el modo FIPS está habilitado.
Sistemas Afectados: - Todas las versiones de OpenSSL están afectadas incluyendo 1.0.1c, 1.0.0j y 0.9.8x.
CVE-2013-0169
Solución:Todos los usuarios afectados deben actualizar a OpenSSL 1.0.1d, 1.0.0k o 0.9.8y.
Notas:SSL, TLS and DTLS Plaintext Recovery Attack (CVE-2013-0169)
Fuente: CCN-CERT